HTTP/3 モジュールの脆弱性に対する NGINX の更新
本日、HTTP/3 モジュールngx_http_v3_moduleで内部的に発見された脆弱性に対応して、NGINX Plus、NGINX Open Source、NGINX Open Source サブスクリプションのアップデートをリリースします。 これらの脆弱性は、NGINX オープンソースの 2 つのバグレポート ( trac #2585およびtrac #2586 ) に基づいて発見されました。 このモジュールはデフォルトでは有効になっておらず、実験的なものとして文書化されていることに注意してください。
これらの脆弱性は Common Vulnerabilities and Exposures (CVE) データベースに登録されており、 F5 セキュリティ インシデント レスポンス チーム(F5 SIRT) がCommon Vulnerability Scoring System (CVSS v3.1) スケールを使用してスコアを割り当てています。
HTTP/3 モジュールの次の脆弱性は、NGINX Plus、NGINX オープンソース サブスクリプション、および NGINX オープンソースに適用されます。
CVE-2024-24989 : この脆弱性に対するパッチは、次のソフトウェア バージョンに含まれています。
- NGINX プラス R31 P1
- NGINX オープンソース サブスクリプション R6 P1
- NGINX オープンソース メインライン バージョン 1.25.4。 (最新の NGINX オープンソース安定バージョン 1.24.0 は影響を受けません。)
CVE-2024-24990 : この脆弱性に対するパッチは、次のソフトウェア バージョンに含まれています。
- NGINX プラス R30 P2
- NGINX プラス R31 P1
- NGINX オープンソース サブスクリプション R5 P2
- NGINX オープンソース サブスクリプション R6 P1
- NGINX オープンソース メインライン バージョン 1.25.4。 (最新の NGINX オープンソース安定バージョン 1.24.0 は影響を受けません。)
NGINX Plus R30 または R31、NGINX オープンソース サブスクリプション パッケージ R5 または R6、または NGINX オープンソース メインライン バージョン 1.25.3 以前を実行している場合は影響を受けます。 NGINX ソフトウェアを最新バージョンにアップグレードすることを強くお勧めします。
NGINX Plus のアップグレード手順については、NGINX Plus 管理者ガイドの「NGINX Plus のアップグレード」を参照してください。 NGINX Plus のお客様は、 https://my.f5.com/からサポート チームに問い合わせることもできます。
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"