BDU:2024-01321
ООО "Веб-Сервер", NGINX Inc., ООО «Ред Софт» Angie PRO, NGINX Plus, Angie, РЕД ОС, nginx
2024-02-14
Уязвимость модуля HTTP/3 QUIC веб-серверов NGINX Plus, NGINX OSS связана с разыменованием нулевого указателя. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путём отправки специально сформированных запросов
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - отключение модуля HTTP/3 в конфигурации NGINX; - использование средств межсетевого экранирования для ограничения возможности удалённого доступа; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя: Для NGINX: https://nginx.org/en/security_advisories.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Angie: https://angie.software/angie/docs/oss_changes/#angie-1-8-2 https://angie.software/angie/docs/pro_changes/#angie-pro-1-8-2