В реализации HTTP/3 в nginx были обнаружены две проблемы, которые позволяют атакующему с помощью специально созданной QUIC-сессии вызвать падение рабочего процесса (CVE-2024-24989, CVE-2024-24990), а также потенциально другие последствия (CVE-2024-24990).
Проблеме подвержен nginx, собранный с модулем ngx_http_v3_module (по умолчанию не собирается), если в конфигурационном файле используется параметр quic директивы listen. Проблеме подвержен nginx 1.25.0 - 1.25.3. Проблема исправлена в nginx 1.25.4. -- Sergey Kandaurov _______________________________________________ nginx-ru-announce mailing list nginx-ru-announce@nginx.org https://mailman.nginx.org/mailman/listinfo/nginx-ru-announce