Nginx 1.26.0 爆 HTTP/3 QUIC 漏洞，建议升级更新到 1.27.0

据悉，Nginx 1.25.0-1.26.0 主线版本中涉及四个与 NGINX HTTP/3 QUIC 模块相关的中级数据面 CVE 漏洞，其中三个为 DoS 攻击类型风险，一个为随机信息泄漏风险，影响皆为允许未经身份认证的用户通过构造请求实施攻击。目前已经紧急发布 NGINX 开源版（稳定版）1.26.1 和 NGINX 开源版（主线版）1.27.0 进行了修复，使用了 Nginx 1.25.0-1.26.0 的 HTTP/3 QUIC 的建议尽快升级更新。

四个安全漏洞的影响信息汇总：

CVE-2024-31079

当工作进程重新启动时，客户端流量可能会中断。该漏洞允许未经身份验证的远程攻击者造成拒绝服务（DoS）或其他潜在影响。

This issue has been classified as CWE-121: Stack-based Buffer Overflow.

CVE-2024-32760

当工作进程重新启动时，客户端流量可能会中断。利用该漏洞，未经身份验证的远程攻击者可导致拒绝服务（DoS）或其他潜在影响。

This issue has been classified as CWE-787: Out-of-bounds Write.

CVE-2024-35200

当工作进程重新启动时，客户端流量可能会中断。利用此漏洞，未经身份验证的远程攻击者可导致拒绝服务（DoS）。

This issue has been classified as CWE-476: NULL Pointer Dereference.

CVE-2024-34161

此漏洞允许未经身份验证的远程攻击者获取先前释放的内存信息。可能泄漏的内存是随机的，攻击者无法控制，并且该内存信息的范围不包括 NGINX 配置或私钥。

This issue has been classified as CWE-416 Use After Free.

理论上，使用 Nginx 1.25.0-1.26.0 主线版的只要没有弃用 HTTP/3 QUIC 的是不受这四个漏洞影响的，但明月还是建议尽快更新至 1.27.0 主线版为宜，另外就算用的是 Nginx 1.25.0-1.26.0 主线版并启用了 HTTP/3 QUIC 的话，有 CloudFlare 的加固支持也是勿用担心的，不会受到漏洞影响带来安全威胁，无论如何明月已经第一时间升级更新 Nginx 到 1.27.0 主线版了。