Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2024-01328

CVSS: 7.5

02.02.2024

Уязвимость модуля ngx_http_v3_module серверов NGINX и NGINX Plus, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость модуля ngx_http_v3_module серверов NGINX и NGINX Plus связана с использованием памяти после ее освобождения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	02.02.2024
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Данные уточняются
Способ эксплуатации:	Манипулирование структурами данных
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: Для NGINX: https://nginx.org/en/download.html Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/ Компенсирующие меры: Рекомендуется отключить модуль ngx_http_v3_module, используя параметр конфигурации: --with-http_v3_module. Более подробная информация доступна по ссылке: https://nginx.org/en/docs/quic.html

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-416	Использование после освобождения

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2024-24990	NGINX HTTP/3 QUIC vulnerability

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
7.8	HIGH	2.0	AV:N/AC:L/Au:N/C:N/I:N/A:C
7.5	HIGH	3.0	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2024-24990

Вендор:	ООО «Ред Софт» NGINX Inc.
Тип ПО:	Операционная система Сетевое средство Сетевое программное средство
Наименование ПО:	РЕД ОС NGINX Plus nginx
Версия ПО:	7.3 (РЕД ОС) R31 (NGINX Plus) R30 (NGINX Plus) от 1.25.0 до 1.25.3 включительно (nginx)
ОС и аппаратные платформы:	РЕД ОС (7.3)
Ссылки на источники:	https://my.f5.com/manage/s/article/K000138445 https://vuldb.com/?id.253881 https://www.opennet.ru/opennews/art.shtml?num=60601 https://nginx.org/en/CHANGES http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2024-01328