Impatto Sistemico

Medio (64.23)

Sintesi

Rilevate due vulnerabilità di gravità “alta” in NGINX, noto software open source per la gestione del traffico e degli applicativi web. Lo sfruttamento di tali vulnerabilità potrebbe consentire a un attaccante di compromettere la disponibilità del servizio sui sistemi interessati, causando interruzioni o degrado delle prestazioni.

Tipologia

• Denial of Service

Prodotti e versioni affette

NGINX Open Source

• 1.30.x, versioni dalla 1.30.0 alla 1.30.2 inclusa
• 1.31.x, versioni dalla 1.31.0 alla 1.31.1 inclusa

NGINX Plus

• 37.x, versioni dalla 37.0.0 alla 37.0.1 inclusa
• R33 – R36, fino alla R36 (prima della patch R36 P6)

NGINX Instance Manager

• 2.x, versioni dalla 2.17.0 alla 2.22.0

NGINX Gateway Fabric

• 1.x: 1.3.0 – 1.6.2
• 2.x: 2.0.0 – 2.6.3

NGINX Ingress Controller

• 3.x: 3.5.0 – 3.7.2
• 4.x: 4.0.0 – 4.0.1
• 5.x: 5.0.0 – 5.5.0

F5 WAF / App Protect / DoS per NGINX

• varie versioni 4.x–5.x

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.