Nginx 安全公告

所有 Nginx 安全问题应报告给 F5SIRT@f5.com 或通过以下列出的一种方法此处。

补丁使用以下其中一个 PGP 公钥进行签名。

ngx_http_mp4_module 中的缓冲区越界读取
严重程度：低
安全公告
 CVE-2024-7347
不受影响：1.27.1+、1.26.2+
受影响：1.5.13-1.27.0
补丁 pgp
HTTP/3 中的缓冲区覆盖
严重程度：中
安全公告
 CVE-2024-32760
不受影响：1.27.0+、1.26.1+
受影响：1.25.0-1.25.5、1.26.0
HTTP/3 中的栈溢出和 use-after-free
严重程度：中
安全公告
 CVE-2024-31079
不受影响：1.27.0+、1.26.1+
受影响：1.25.0-1.25.5、1.26.0
HTTP/3 中的空指针解引用
严重程度：中
安全公告
 CVE-2024-35200
不受影响：1.27.0+、1.26.1+
受影响：1.25.0-1.25.5、1.26.0
HTTP/3 中的内存泄露
严重程度：中
安全公告
 CVE-2024-34161
不受影响：1.27.0+、1.26.1+
受影响：1.25.0-1.25.5、1.26.0
HTTP/3 中的空指针解引用
严重程度：严重
安全公告
 CVE-2024-24989
不受影响：1.25.4+
受影响：1.25.3
HTTP/3 中的 use-after-free
严重程度：严重
安全公告
 CVE-2024-24990
不受影响：1.25.4+
受影响：1.25.0-1.25.3
ngx_http_mp4_module 中的内存损坏
严重程度：中
安全公告
 CVE-2022-41741
不受影响：1.23.2+、1.22.1+
受影响：1.1.3-1.23.1、1.0.7-1.0.15
补丁 pgp
ngx_http_mp4_module 中的内存泄露
严重程度：中
安全公告
 CVE-2022-41742
不受影响：1.23.2+、1.22.1+
受影响：1.1.3-1.23.1、1.0.7-1.0.15
补丁 pgp
解析器中的 1 字节内存覆盖
严重程度：中
安全公告
 CVE-2021-23017
不受影响：1.21.0+、1.20.1+
受影响：0.6.18-1.20.0
补丁 pgp
HTTP/2 中使用小窗口更新导致的 CPU 使用率过高
严重程度：中
安全公告
 CVE-2019-9511
不受影响：1.17.3+、1.16.1+
受影响：1.9.5-1.17.2
HTTP/2 中使用优先级更改导致的 CPU 使用率过高
严重程度：低
安全公告
 CVE-2019-9513
不受影响：1.17.3+、1.16.1+
受影响：1.9.5-1.17.2
HTTP/2 中使用零长度报头导致的内存使用率过高
严重程度：低
安全公告
 CVE-2019-9516
不受影响：1.17.3+、1.16.1+
受影响：1.9.5-1.17.2
HTTP/2 中的内存使用率过高
严重程度：低
安全公告
 CVE-2018-16843
不受影响：1.15.6+、1.14.1+
受影响：1.9.5-1.15.5
HTTP/2 中的 CPU 使用率过高
严重程度：低
安全公告
 CVE-2018-16844
不受影响：1.15.6+、1.14.1+
受影响：1.9.5-1.15.5
ngx_http_mp4_module 中的内存泄露
严重程度：中
安全公告
 CVE-2018-16845
不受影响：1.15.6+、1.14.1+
受影响：1.1.3-1.15.5、1.0.7-1.0.15
补丁 pgp
范围过滤器中的整数溢出
严重程度：中
安全公告
 CVE-2017-7529
不受影响：1.13.3+、1.12.1+
受影响：0.5.6-1.13.2
补丁 pgp
写入客户端请求主体时出现空指针解引用
严重程度：中
安全公告
 CVE-2016-4450
不受影响：1.11.1+、1.10.1+
受影响：1.3.9-1.11.0
补丁 pgp (适用于 1.9.13-1.11.0)
补丁 pgp (适用于 1.3.9-1.9.12)
解析器中的无效指针解引用
严重程度：中
安全公告
 CVE-2016-0742
不受影响：1.9.10+、1.8.1+
受影响：0.6.18-1.9.9
解析器在处理 CNAME 响应期间出现 use-after-free
严重程度：中
安全公告
 CVE-2016-0746
不受影响：1.9.10+、1.8.1+
受影响：0.6.18-1.9.9
解析器中 CNAME 解析的限制不足
严重程度：中
安全公告
 CVE-2016-0747
不受影响：1.9.10+、1.8.1+
受影响：0.6.18-1.9.9
SSL 会话重用漏洞
严重程度：中
安全公告
 CVE-2014-3616
不受影响：1.7.5+、1.6.2+
受影响：0.5.6-1.7.4
STARTTLS 命令注入
严重程度：中
安全公告
 CVE-2014-3556
不受影响：1.7.4+、1.6.1+
受影响：1.5.6-1.7.3
补丁 pgp
SPDY 堆缓冲区溢出
严重程度：严重
安全公告
 CVE-2014-0133
不受影响：1.5.12+、1.4.7+
受影响：1.3.15-1.5.11
补丁 pgp
SPDY 内存损坏
严重程度：严重
安全公告
 CVE-2014-0088
不受影响：1.5.11+
受影响：1.5.10
补丁 pgp
请求行解析漏洞
严重程度：中
安全公告
 CVE-2013-4547
不受影响：1.5.7+、1.4.4+
受影响：0.8.41-1.5.6
补丁 pgp
使用特制 HTTP 后端响应导致的内存泄露
严重程度：中
安全公告
 CVE-2013-2070
不受影响：1.5.0+、1.4.1+、1.2.9+
受影响：1.1.4-1.2.8、1.3.9-1.4.0
补丁 pgp (适用于 1.3.9-1.4.0)
补丁 pgp (适用于 1.1.4-1.2.8)
使用特制请求导致的基于栈的缓冲区溢出
严重程度：严重
安全公告
 CVE-2013-2028
不受影响：1.5.0+、1.4.1+
受影响：1.3.9-1.4.0
补丁 pgp
Windows 目录别名相关的漏洞
严重程度：中
安全公告
 CVE-2011-4963
不受影响：1.3.1+、1.2.1+
受影响：nginx/Windows 0.7.52-1.3.0
ngx_http_mp4_module 中的缓冲区溢出
严重程度：严重
安全公告
 CVE-2012-2089
不受影响：1.1.19+、1.0.15+
受影响：1.1.3-1.1.18、1.0.7-1.0.14
补丁 pgp
使用特制后端响应导致的内存泄露
严重程度：严重
安全公告
 CVE-2012-1180
不受影响：1.1.17+、1.0.14+
受影响：0.1.0-1.1.16
补丁 pgp
解析器中的缓冲区溢出
严重程度：中
CVE-2011-4315
不受影响：1.1.8+、1.0.10+
受影响：0.6.18-1.1.7
Windows 上无效 UTF-8 序列相关的漏洞
严重程度：严重
CVE-2010-2266
不受影响：0.8.41+、0.7.67+
受影响：nginx/Windows 0.7.52-0.8.40
Windows 文件默认流相关的漏洞
严重程度：严重
CVE-2010-2263
不受影响：0.8.40+、0.7.66+
受影响：nginx/Windows 0.7.52-0.8.39
Windows 8.3 文件名别名相关的漏洞
严重程度：严重
CORE-2010-0121
不受影响：0.8.33+、0.7.65+
受影响：nginx/Windows 0.7.52-0.8.32
错误日志数据未经清理
严重程度：无
CVE-2009-4487
不受影响：无
受影响：所有版本
SSL 协议中的重新协商漏洞
严重程度：严重
VU#120541 CVE-2009-3555
不受影响：0.8.23+、0.7.64+
受影响：0.1.0-0.8.22
补丁 pgp
目录遍历漏洞
严重程度：轻微
CVE-2009-3898
不受影响：0.8.17+、0.7.63+
受影响：0.1.0-0.8.16
缓冲区下溢漏洞
严重程度：严重
VU#180065 CVE-2009-2629
不受影响：0.8.15+、0.7.62+、0.6.39+、0.5.38+
受影响：0.1.0-0.8.14
补丁 pgp
空指针解引用漏洞
严重程度：严重
CVE-2009-3896
不受影响：0.8.14+、0.7.62+、0.6.39+、0.5.38+
受影响：0.1.0-0.8.13
补丁 pgp