Am 29. Mai 2024 wurden mehrere Sicherheitslücken in der HTTP/3 QUIC Implementierung von NGINX entdeckt und dokumentiert. Diese Schwachstellen betreffen sowohl NGINX Plus als auch die Open Source Version und wurden inzwischen durch Updates behoben.
CVE-2024-32760 (CVSS-Score: 6.5)
Betroffene Produkte: NGINX Plus (R30 – R31), NGINX Open Source (1.25.0 – 1.26.0)
Diese Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, NGINX-Arbeiterprozesse zu terminieren oder andere potenzielle Auswirkungen zu verursachen. Die Ursache liegt in nicht offengelegten HTTP/3-Encoder-Instruktionen.
CVE-2024-34161 (CVSS-Score: 5.3)
Betroffene Produkte: NGINX Plus (R30 – R31), NGINX Open Source (1.25.0 – 1.26.0)
Diese Sicherheitslücke betrifft Systeme, die mit dem HTTP/3 QUIC Modul konfiguriert sind und kann dazu führen, dass NGINX-Arbeiterprozesse zuvor freigegebenen Speicher lecken. Dies kann durch undisclosed QUIC-Pakete verursacht werden, wenn die Netzwerkinfrastruktur eine maximale Übertragungseinheit (MTU) von 4096 oder größer ohne Fragmentierung unterstützt.
CVE-2024-35200 (CVSS-Score: 5.3)
Betroffene Produkte: NGINX Plus (R30 – R31), NGINX Open Source (1.25.0 – 1.26.0)
Diese Schwachstelle ermöglicht es einem entfernten Angreifer, durch nicht offengelegte HTTP/3-Anfragen, NGINX-Arbeiterprozesse zu terminieren, was zu einem Denial-of-Service (DoS) führen kann.
CVE-2024-31079 (CVSS-Score: 4.8)
Betroffene Produkte: NGINX Plus (R30 – R31), NGINX Open Source (1.25.0 – 1.26.0)
Diese Schwachstelle ermöglicht es einem entfernten, nicht authentifizierten Angreifer, NGINX-Arbeiterprozesse zu terminieren oder andere potenzielle Auswirkungen zu verursachen. Der Angriff erfordert, dass eine Anfrage während des Verbindungsabbaus zeitlich genau abgestimmt wird, was für den Angreifer nur begrenzt steuerbar ist.
Die genannten Schwachstellen betreffen ausschließlich die Datenebene und haben keine Auswirkungen auf die Kontrollebene. Die Hauptgefahren umfassen Denial-of-Service (DoS) Angriffe und das Lecken von zufälligem Speicher, der jedoch nicht vom Angreifer kontrolliert werden kann und keine sensiblen Konfigurationsdaten oder privaten Schlüssel enthält.
Administratoren, die NGINX Plus oder NGINX Open Source Versionen verwenden, sollten ihre Systeme umgehend auf die entsprechenden behobenen Versionen aktualisieren:
- NGINX Plus: Aktualisierung auf R32 oder R31 P2.
- NGINX Open Source: Aktualisierung auf 1.27.0 oder 1.26.1.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: