Nginx 1.26.0 爆 HTTP/3 QUIC 漏洞,建议升级更新到 1.27.0

原创 已于 2024-06-01 10:18:38 修改 · 3.8k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #http #运维 #HTTP/3

于 2024-06-01 10:16:10 首次发布

据悉,Nginx 1.25.0-1.26.0 主线版本中涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,其中三个为 DoS 攻击类型风险,一个为随机信息泄漏风险,影响皆为允许未经身份认证的用户通过构造请求实施攻击。目前已经紧急发布 NGINX 开源版(稳定版)1.26.1 和 NGINX 开源版(主线版)1.27.0 进行了修复,使用了 Nginx 1.25.0-1.26.0 的 HTTP/3 QUIC 的建议尽快升级更新。

Nginx 1.26.0 爆 HTTP/3 QUIC 漏洞,建议升级更新到 1.27.0

四个安全漏洞的影响信息汇总:

CVE-2024-31079

当工作进程重新启动时,客户端流量可能会中断。该漏洞允许未经身份验证的远程攻击者造成拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-121: Stack-based Buffer Overflow.

CVE-2024-32760

当工作进程重新启动时,客户端流量可能会中断。利用该漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)或其他潜在影响。

This issue has been classified as CWE-787: Out-of-bounds Write.

CVE-2024-35200

当工作进程重新启动时,客户端流量可能会中断。利用此漏洞,未经身份验证的远程攻击者可导致拒绝服务(DoS)。

This iss

最低0.47元/天 解锁文章

200万优质内容无限畅学
LNMP 环境下 Nginx 1.26.0 开启 HTTP/3 QUIC 支持
草根博客站长明月登楼的优快云博客
05-06 2381
对于使用了国内 CDN 的站点来说,这个 Nginx 里开启 HTTP/3 QUIC 后可能是没有效果的,因为还需要 CDN 层面的支持,国内支持 HTTP/3 QUIC 的好像只有七牛、又拍云,国外 CloudFlare 免费支持 HTTP/3 QUIC 开启的,并且只要 CDN 支持 HTTP/3 QUIC,源站开没开启 HTTP/3 QUIC 都是可以的,所以本文更多的是处于技术学习的范畴了,毕竟现在网站没有 CDN 的保护是不敢想象的,裸奔的服务器和网站在现在的国内互联网生态里太少见了。
通过升级nginx完美修复nginx相关漏洞
cooldream2009的博客
07-04 3522
在软件开发完成并交付给客户后,经过一段时间,客户的上级部门要求对服务器进行安全检测。通过漏洞扫描,发现了服务器存在安全漏洞,并要求在规定期限内完成漏洞修补。由于客户通常缺乏技术能力,他们会求助于软件开发公司来协助解决服务器的安全问题。作为软件开发人员,我们不仅会为客户开发软件,还会帮助他们解决服务器安全方面的难题,确保其系统的安全性和稳定性。
D-Link-NAS(CVE-2024-3272&&CVE-2024-3273)
swordheart的博客
05-18 209
CVE-2024-3272 和 CVE-2024-3273 是两个常见漏洞和暴露(CVE)标识符,用于跟踪和标识特定的安全漏洞
安全通告:NGINX HTTP/3 QUIC 漏洞
NGINX开源社区的博客
06-12 1761
F5 于昨晚发布了特别安全通告,涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞,影响皆为允许未经身份认证的用户通过构造请求实施攻击。阅读本文,了解漏洞详情以及相关缓解措施。
Nginx漏洞解析及复现
A526847的博客
06-05 4216
开启这一选项有什么用呢?看名字就知道是对文件路径进行“修理”。举个例子,当php遇到 文件路径“/aaa.xxx/bbb.yyy/ccc.zzz”时,若“/aaa.xxx/bbb.yyy/ccc.zzz”不存在,则会去掉最后的 “/ccc.zzz”,然后判断“/aaa.xxx/bbb.yyy”是否存在,若存在,则把“/aaa.xxx/bbb.yyy”当做文件 “/aaa.xxx/bbb.yyy/ccc.zzz”,若“/aaa.xxx/bbb.yyy”仍不存在,则继续去掉“/bbb.yyy”,以此类推。
Nginx漏洞总结
热门推荐
weixin_42345596的博客
10-08 2万+
Nginx简介 Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较
F5 NGINX Controller 安全漏洞——Nginx版本升级1.27.1
yilia_jia的博客
11-13 824
4. 下载 NGINX 1.27.1 源码或安装包。5. 解压并编译 NGINX 源码。6. 检查和启动 NGINX
Nginx 版本升级方案
askuld的博客
06-11 4677
因发现漏洞、需的版本进行更新,需要用到Nginx服务器提供的平滑升级功能。本文仅做备忘功能。
Nginx配置优化案例分析:3个高级配置技巧助你提升1.27.0版本性能
![Nginx配置优化案例分析:3个高级配置技巧助你提升1.27.0版本性能]... # 摘要 本文旨在全面介绍Nginx服务器的配置基础、性能优化理论、高级配置技巧以及未来发展趋势。首先,本文提供了Nginx的基本概念和配置入门,为...
Nginx 1.27.0新特性深度解析】:掌握新版Nginx10大改进与增强
本文对Nginx 1.27.0版本进行全面概述,探讨了其核心改进点,包括架构优化、HTTP/2和HTTP/3支持的增强以及安全性提升。性能测试结果表明,新版本在性能基准和缓存、压缩技术方面有显著提升。模块与功能增强部分详细...
Nginx日志管理与分析】:1.27.0版本的日志监控和性能调优指南
[【Nginx日志管理与分析】:1.27.0版本的日志监控和性能调优指南](https://blog.containerize.com/how-to-optimize-your-website-using-gzip-compression-in-nginx/images/enable-gzip-compression-in-nginx.png) ...
nginx-1.26.0.tar
05-07
nginx-1.26.0.tar,下载后按照,地址(https://blog.csdn.net/jinhuding/article/details/138545989?spm=1001.2014.3001.5501)步骤可直接安装
nginx常见漏洞解析
qtttgeq的博客
04-06 1万+
0×1HTTP返回包头:就是httpresponsHTTP返回包体:就是请求的具体文件,例如出来个网页资源,网页内嵌套的内容等等。content-range是什么?range是什么?存在于HTTP请求头中,表示请求目标资源的部分内容,例如请求一个图片的前半部分,单位是byte,原则上从0开始,但今天介绍的是可以设置为负数。range的典型应用场景例如:断点续传、分批请求资源。content-range的表达方式:Range:bytes=0-1024 表示访问第0到第1024字节;
nginx漏洞升级Nginx 1.16.1
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-15 1万+
背景 安全部门扫描发现,某业务主机存在以下漏洞nginx 安全漏洞(CVE-2019-9511) nginx 安全漏洞(CVE-2019-9513) nginx 安全漏洞(CVE-2019-9516) 受影响版本:Nginx 1.9.5116.0版本及1.17.2. 按照建议升级到:Nginx 1.16.1,下载地址:https://nginx.org/download/nginx-1.16.1.tar.gz 过程 1、登录云主机rz上次安装包到系统内,然后解压 2、备份旧版本的nginx的执行
nginx 漏洞修复 CVE-2024-7347 CVE-2025-23419
最新发布
舒婷(Zoe)
05-19 4002
home/nginx/sbin/nginx -V 查看当前版本是1.24.0查看 原nginx使用模块 --prefix=/home/nginx --with-http_stub_status_module --with-http_ssl_module --with-stream (下面会用到这块)7、将原nginx文件备份:cp -rf /home/nginx/sbin/nginx /home/nginx/sbin/nginx.old20240313。PS:查看ng服务及版本。
Nginx 1.20升级 Nginx 1.26版本后资源目录无法访问
数据结构复习笔记
07-02 473
Nginx升级版本
hvv在即,我们整理了 2024 年部分勒索漏洞清单
FreeBuf_的博客
05-08 2111
可通过官方补丁更新解决该威胁,免费更新链接:https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?威胁者可向用户发送恶意文件并诱导用户打开文件来利用该漏洞,成功利用可能导致绕过 SmartScreen安全功能。
nginx网站安全漏洞修复,2024年最新2024网络安全面试心得
2401_83621541的博客
04-15 1270
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。判断标准: 检查响应头中是否有返回X-Frame-Options头,如果没有则报出漏洞
Nginx 1.18新特性:HTTP3/QUICHTTP2 HPACK支持及BoringSSL集成
这样的文件很可能是用于自动化安装Nginx并配置上述提到的HTTP3QUIC)、HTTP2 HPACK、动态TLS记录、带有OCSP装订的BoringSSL等高级特性。 ### 综合知识解析: 从文件信息中,我们可以得知一个IT专业人员在处理web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月登楼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值