NGINX의 지속적인 사용자 보안 노력

F5 NGINX는 출시 전에 보안 문제를 찾기 위해 설계, 개발, 최적화된 테스트를 포함한 안전한 소프트웨어 수명 주기를 구축하고 있습니다. 위협 모델링, 보안 코딩, 교육 및 테스트를 우선시하더라도 취약점이 가끔 발생합니다.

지난달, NGINX 오픈 소스 커뮤니티의 한 회원이 NGINX 오픈 소스에서 충돌을 일으킨 HTTP/3 모듈의 버그 두 개를 보고했습니다. 우리는 악의적인 행위자가 특별히 제작된 HTTP/3 요청을 보내 NGINX 인스턴스에 서비스 거부 공격을 일으킬 수 있다는 것을 확인했습니다. 이러한 이유로 NGINX는 방금 두 가지 취약점을 발표했습니다. CVE-2024-24989 및 CVE-2024-24990 .

해당 취약점은 CVE(Common Vulnerability and Exposures) 데이터베이스에 등록되었으며, F5 보안 사고 대응팀 (F5 SIRT)은 CVSS v3.1( Common Vulnerability Scoring System ) 척도를 사용하여 점수를 매겼습니다.

NGINX의 QUIC와 HTTP/3 기능은 출시 당시 실험적인 것으로 간주되었습니다. 과거에는 실험적 기능에 대해 CVE를 발행하지 않았고, 대신 관련 코드에 패치를 적용하여 표준 릴리스의 일부로 출시했습니다. NGINX Plus의 상업 고객을 위해 이전 두 버전은 패치되어 고객에게 출시될 예정입니다. 우리는 NGINX 오픈 소스에 대해서도 유사한 패치를 제공하지 않는 것이 우리 커뮤니티에 대한 봉사에 해가 된다고 생각했습니다. 더불어, 오픈소스 브랜치에서 해당 문제를 해결했다면 바이너리를 제공하지 않고도 사용자가 취약점에 노출되었을 것입니다.

NGINX 오픈 소스와 NGINX Plus에 대한 패치를 출시하기로 한 당사의 결정은 고객과 커뮤니티에 고도로 보안된 소프트웨어를 제공한다는 올바른 일을 하는 데 기반을 두고 있습니다. 또한, 우리는 미래의 보안 취약성이 시기적절하고 투명한 방식으로 어떻게 해결될 것인지에 대한 명확한 정책을 문서화하고 발표하겠다는 약속을 하고 있습니다.