thr3ads.net - nginx ru announce - [nginx-ru-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990) [Feb 2024]

If this information is useful, please help other people find it:
Share via:

Sergey Kandaurov

2024-Feb-14 17:00 UTC

[nginx-ru-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990)

В реализации HTTP/3 в nginx были обнаружены две проблемы, которые
позволяют атакующему с помощью специально созданной QUIC-сессии вызвать
падение рабочего процесса (CVE-2024-24989, CVE-2024-24990), а также
потенциально другие последствия (CVE-2024-24990).

Проблеме подвержен nginx, собранный с модулем ngx_http_v3_module (по
умолчанию не собирается), если в конфигурационном файле используется
параметр quic директивы listen.

Проблеме подвержен nginx 1.25.0 - 1.25.3.
Проблема исправлена в nginx 1.25.4.


-- 
Sergey Kandaurov

nginx ru announce - Feb 2024 - nginx security advisory (CVE-2024-24989, CVE-2024-24990)

[nginx-ru-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990)