F5 NGINX opravuje 4 zraniteľnosti

[TLP:CLEAR] F5 NGINX opravuje 4 zraniteľnosti

F5 opravuje 4 zraniteľnosti v produkte NGINX. Zraniteľnosť bola opravená vo verziách 1.27.0 a 1.26.1 pre NGINX Open Source a vo verziách R32 a R31P2 pre NGINX Plus [2][1][4][3].

F5 NGINX - DoS (CVE-2024-32760) CVSS 6.5 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené spôsobiť DoS útok alebo prepísať dáta v pamäti. Zraniteľnosť je zneužiteľná iba v prípade, že je NGINX nakonfigurovaný, aby používal HTTP/3 QUIC modul [1].

Zraniteľnosť sa nachádza v produktoch:

NGINX Plus vo verziách >=R30 AND <R31P2
NGINX Open Source vo verziách >=1.25.0 AND <1.26.1

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L

Viac informácií:

CVE-2024-32760 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-787: Out-of-bounds Write at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 29. 5. 2024.

F5 NGINX - memory leak (CVE-2024-34161) CVSS 5.3 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k určitým častiam pamäte. Zraniteľnosť je zneužiteľná iba v prípade, že je NGINX nakonfigurovaný, aby používal HTTP/3 QUIC modul a sieťová infraštruktúra podporuje maximálnu velkosť paketu 4096B a viac [2].

Zraniteľnosť sa nachádza v produktoch:

NGINX Plus vo verziách >=R30 AND <R31P2
NGINX Open Source vo verziách >=1.25.0 AND <1.26.1

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Viac informácií:

CVE-2024-34161 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-416: Use After Free at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 29. 5. 2024.

F5 NGINX - DoS (CVE-2024-31079) CVSS 4.8 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, že je NGINX nakonfigurovaný, aby používal HTTP/3 QUIC modul. Zneužitie taktiež závisí od správneho načasovania zasielaných požiadaviek [3].

Zraniteľnosť sa nachádza v produktoch:

NGINX Plus vo verziách >=R30 AND <R31P2
NGINX Open Source vo verziách >=1.25.0 AND <1.26.1

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L

Viac informácií:

CVE-2024-31079 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-121: Stack-based Buffer Overflow at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 29. 5. 2024.

F5 NGINX - DoS (CVE-2024-35200) CVSS 5.3 (Medium)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať DoS útok. Zraniteľnosť je zneužiteľná iba v prípade, že je NGINX nakonfigurovaný, aby používal HTTP/3 QUIC modul [4].

Zraniteľnosť sa nachádza v produktoch:

NGINX Plus vo verziách >=R30 AND <R31P2
NGINX Open Source vo verziách >=1.25.0 AND <1.26.1

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Viac informácií:

CVE-2024-35200 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-476: NULL Pointer Dereference at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 29. 5. 2024.

Odkazy

Publikoval Martin Krajči dňa 30. 5. 2024.