NGINX のユーザー保護への継続的な取り組み

F5 NGINX は、リリース前にセキュリティ上の懸念を発見できるように最適化された設計、開発、テストを含む、安全なソフトウェア ライフサイクルに取り組んでいます。 当社では脅威のモデリング、安全なコーディング、トレーニング、テストを優先していますが、脆弱性が時々発生することがあります。

先月、NGINX オープンソース コミュニティのメンバーが、NGINX オープンソースでクラッシュを引き起こす HTTP/3 モジュールの 2 つのバグを報告しました。 悪意のある人物が特別に細工した HTTP/3 リクエストを送信することで、NGINX インスタンスにサービス拒否攻撃を引き起こす可能性があることが判明しました。 このため、NGINX は次の 2 つの脆弱性を発表しました。 CVE-2024-24989 および CVE-2024-24990 。

これらの脆弱性は Common Vulnerabilities and Exposures (CVE) データベースに登録されており、 F5 セキュリティ インシデント レスポンス チーム(F5 SIRT) がCommon Vulnerability Scoring System (CVSS v3.1) スケールを使用してスコアを割り当てています。

リリース時には、NGINX の QUIC および HTTP/3 機能は実験的なものと考えられていました。 これまで、私たちは実験的な機能に対して CVE を発行せず、代わりに関連コードにパッチを適用し、標準リリースの一部としてリリースしてきました。 NGINX Plus の商用顧客向けには、以前の 2 つのバージョンがパッチ適用されて顧客にリリースされます。 NGINX Open Source に同様のパッチを発行しないと、コミュニティに不利益をもたらすと感じました。 さらに、オープンソース ブランチで問題を修正すると、バイナリを提供せずにユーザーが脆弱性にさらされることになります。

NGINX Open Source と NGINX Plus の両方にパッチをリリースするという当社の決定は、正しいことを行うこと、つまり、お客様とコミュニティに安全性の高いソフトウェアを提供することに根ざしています。 さらに、私たちは、将来のセキュリティ上の脆弱性にタイムリーかつ透明性のある方法で対処するための明確なポリシーを文書化して公開することをお約束します。