CVE-2024-39792

一、漏洞信息
漏洞编号：CVE-2024-39792
漏洞归属组件：nginx
漏洞归属的版本：1.16.1,1.18.0,1.19.1,1.21.5,1.23.2,1.23.3,1.24.0
CVSS V3.0分值：
BaseScore：7.5 High
Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞简述：
When the NGINX Plus is configured to use the MQTT pre-read module, undisclosed requests can cause an increase in memory resource utilization. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
漏洞公开时间：2024-08-14 23:15:26
漏洞创建时间：2024-08-20 08:44:54
漏洞详情参考链接：
https://nvd.nist.gov/vuln/detail/CVE-2024-39792

更多参考(点击展开)

参考来源	参考链接	来源链接
f5sirt.f5.com	https://my.f5.com/manage/s/article/K000140108
debian		https://security-tracker.debian.org/tracker/CVE-2024-39792
amazon_linux_explore	https://access.redhat.com/security/cve/CVE-2024-39792	https://explore.alas.aws.amazon.com/CVE-2024-39792.html
amazon_linux_explore	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-39792	https://explore.alas.aws.amazon.com/CVE-2024-39792.html

漏洞分析指导链接：
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
漏洞数据来源:
openBrain开源漏洞感知系统
漏洞补丁信息：

详情(点击展开)

影响的包	修复版本	修复补丁	问题引入补丁	来源
		https://my.f5.com/manage/s/article/K000140108		nvd

二、漏洞分析结构反馈
影响性分析说明：
当NGINX Plus配置了MQTT预读模块时，某些未公开的请求可能会导致内存资源利用率增加，引起系统性能下降，或者nginx拒绝服务。开源nginx没有MQTT模块相关代码，因此不受影响。
openEuler评分：
7.5
Vector：CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
受影响版本排查(受影响/不受影响)：
1.master(1.24.0):不受影响
2.openEuler-20.03-LTS-SP4(1.21.5):不受影响
3.openEuler-22.03-LTS-SP1(1.21.5):不受影响
4.openEuler-22.03-LTS-SP3(1.21.5):不受影响
5.openEuler-22.03-LTS-SP4(1.21.5):不受影响
6.openEuler-24.03-LTS(1.24.0):不受影响
7.openEuler-24.03-LTS-Next(1.24.0):不受影响

修复是否涉及abi变化(是/否)：
1.master(1.24.0):否
2.openEuler-20.03-LTS-SP4(1.21.5):否
3.openEuler-22.03-LTS-SP1(1.21.5):否
4.openEuler-22.03-LTS-SP3(1.21.5):否
5.openEuler-22.03-LTS-SP4(1.21.5):否
6.openEuler-24.03-LTS(1.24.0):否
7.openEuler-24.03-LTS-Next(1.24.0):否

@licihua ,@jimmy_hero ,@wangxp006 ,@zhuchunyi ,@solarhu ,@yaqiangchen ,@overweight ,@dogsheng 
**issue处理注意事项:** 
**1. 当前issue受影响的分支提交pr时, 须在pr描述中填写当前issue编号进行关联, 否则无法关闭当前issue;**
**2. 模板内容需要填写完整, 无论是受影响或者不受影响都需要填写完整内容,未引入的分支不需要填写, 否则无法关闭当前issue;**
**3. 以下为模板中需要填写完整的内容, 请复制到评论区回复, 注: 内容的标题名称(影响性分析说明, openEuler评分, 受影响版本排查(受影响/不受影响), 修复是否涉及abi变化(是/否))不能省略,省略后cve-manager将无法正常解析填写内容.**
************************************************************************
影响性分析说明:

openEuler评分: (评分和向量)

受影响版本排查(受影响/不受影响): 
1.master(1.24.0):
2.openEuler-20.03-LTS-SP4(1.21.5):
3.openEuler-22.03-LTS-SP1(1.21.5):
4.openEuler-22.03-LTS-SP3(1.21.5):
5.openEuler-22.03-LTS-SP4(1.21.5):
6.openEuler-24.03-LTS(1.24.0):
7.openEuler-24.03-LTS-Next(1.24.0):

修复是否涉及abi变化(是/否)：
1.master(1.24.0):
2.openEuler-20.03-LTS-SP4(1.21.5):
3.openEuler-22.03-LTS-SP1(1.21.5):
4.openEuler-22.03-LTS-SP3(1.21.5):
5.openEuler-22.03-LTS-SP4(1.21.5):
6.openEuler-24.03-LTS(1.24.0):
7.openEuler-24.03-LTS-Next(1.24.0):

-----------------------------------------------------------------------
issue处理具体操作请参考: 
https://gitee.com/openeuler/cve-manager/blob/master/cve-vulner-manager/doc/md/manual.md
pr关联issue具体操作请参考:
https://gitee.com/help/articles/4142

参考网址	关联pr	状态	补丁链接
https://nvd.nist.gov/vuln/detail/CVE-2024-39792
https://www.opencve.io/cve/CVE-2024-39792
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2024-39792
https://security-tracker.debian.org/tracker/CVE-2024-39792

说明：抱歉，当前工具暂未找到推荐补丁，请人工查找或者之后评论'/find-patch'尝试再次查找。
若人工查找到补丁，烦请在此issue下评论 '/report-patch 参考网址补丁链接1,补丁链接2' 便于我们不断优化工具，不胜感激。
如 /report-patch https://security-tracker.debian.org/tracker/CVE-2021-3997 https://github.com/systemd/systemd/commit/5b1cf7a9be37e20133c0208005274ce4a5b5c6a1

受影响版本排查(受影响/不受影响)：
1.master(1.24.0):不受影响
2.openEuler-20.03-LTS-SP4(1.21.5):不受影响
3.openEuler-22.03-LTS-SP1(1.21.5):不受影响
4.openEuler-22.03-LTS-SP3(1.21.5):不受影响
5.openEuler-22.03-LTS-SP4(1.21.5):不受影响
6.openEuler-24.03-LTS(1.24.0):不受影响
7.openEuler-24.03-LTS-Next(1.24.0):不受影响

/reason nginx plus 是 Nginx 公司的商业产品，与开源产品无关

影响性分析说明：当NGINX Plus配置了MQTT预读模块时，某些未公开的请求可能会导致内存资源利用率增加，引起系统性能下降，或者nginx拒绝服务。开源nginx没有MQTT模块相关代码，因此不受影响。

openEuler评分： 7.5(CVSS：3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
受影响版本排查(受影响/不受影响)：
1.master(1.24.0):不受影响
2.openEuler-20.03-LTS-SP4(1.21.5):不受影响
3.openEuler-22.03-LTS-SP1(1.21.5):不受影响
4.openEuler-22.03-LTS-SP3(1.21.5):不受影响
5.openEuler-22.03-LTS-SP4(1.21.5):不受影响
6.openEuler-24.03-LTS(1.24.0):不受影响
7.openEuler-24.03-LTS-Next(1.24.0):不受影响

修复是否涉及abi变化(是/否)：
1.master(1.24.0):否
2.openEuler-20.03-LTS-SP4(1.21.5):否
3.openEuler-22.03-LTS-SP1(1.21.5):否
4.openEuler-22.03-LTS-SP3(1.21.5):否
5.openEuler-22.03-LTS-SP4(1.21.5):否
6.openEuler-24.03-LTS(1.24.0):否
7.openEuler-24.03-LTS-Next(1.24.0):否

@ 经过 cve-manager 解析, 已分析的内容如下表所示:

状态	需分析	内容
已分析	1.影响性分析说明	当NGINX Plus配置了MQTT预读模块时，某些未公开的请求可能会导致内存资源利用率增加，引起系统性能下降，或者nginx拒绝服务。开源nginx没有MQTT模块相关代码，因此不受影响。
已分析	2.openEulerScore	7.5
已分析	3.openEulerVector	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
已分析	4.受影响版本排查	master:不受影响,openEuler-20.03-LTS-SP4:不受影响,openEuler-22.03-LTS-SP1:不受影响,openEuler-22.03-LTS-SP3:不受影响,openEuler-22.03-LTS-SP4:不受影响,openEuler-24.03-LTS:不受影响,openEuler-24.03-LTS-Next:不受影响
已分析	5.修复是否涉及abi变化	master:否,openEuler-20.03-LTS-SP4:否,openEuler-22.03-LTS-SP1:否,openEuler-22.03-LTS-SP3:否,openEuler-22.03-LTS-SP4:否,openEuler-24.03-LTS:否,openEuler-24.03-LTS-Next:否

请确认分析内容的准确性, 确认无误后, 您可以进行后续步骤, 否则您可以继续分析.

/reason nginx plus是Nginx公司的商业产品，CVE涉及的MQTT模块与开源产品无关，因此不受影响

src-openEuler/nginx

内容风险标识

评论 (9)

src-openEuler/nginx .gitee-modal { width: 500px !important; }

内容风险标识

CVE-2024-39792

评论 (9)

搜索帮助

src-openEuler/nginx