NGINX Releases Urgent Patch for HTTP/3 Vulnerabilities (CVE-2024-24989, CVE-2024-24990)
2024/02/14 SecurityOnline — 数多くの高トラフィック Web サイトを支える、代表的な Web サーバの1つである NGINX が、緊急パッチ (バージョン1.25.4) をリリースし、実験的な HTTP/3 実装に潜む2つの重大な脆弱性 CVE-2024-24989/CVE-2024-24990 に対処した。この新しく高速なプロトコルは、Web のパフォーマンスを向上させるが、その最先端性ゆえに、潜在的なセキュリティ・リスクも引き起こしている。
その影響とは?
一連の脆弱性に対してパッチを適用しなければ、以下のような機会を脅威アクターたちに与えることになる:
- サーバのクラッシュ:脆弱な NGINX サーバに対して、悪意を持って設計された QUIC セッションが送信されると、ワーカー・プロセスのクラッシュが引き起こされ、広範なサービス拒否 (DoS:Denial-of-Service) につながる可能性がある。
- さらなる悪用: CVE-2024-24990 が影響を及ぼす、正確な範囲は調査中であるが、単純なクラッシュだけでなく、より深い侵害の可能性が示唆されている。
これらの脆弱性 CVE-2024-24989/CVE-2024-24990 の CVSS スコアは 7.5 である。NGINX の開発元である F5 は、「これらの脆弱性は、リモートの認証されていない攻撃者に、NGINX システム上での DoS 実行をゆるす」と警告している。
危険にさらされているのは誰か?
NGINX のコンフィグレーションが、以下の条件を満たしている場合には、これらの脆弱性の影響を受ける可能性がある:
- NGINX 1.25.0〜1.25.3
- NGINX を ngx_http_v3_module で明示的にコンパイルしている (これはデフォルトではない)。
- コンフィグレーション・ファイルの “listen “ディレクティブで、”quic” オプションが有効になっている。
早急な対応を!
- 早急にアップグレードする:システムに脆弱性が存在する場合には、NGINX 1.25.4 にアップグレードし、必要なパッチを適用する。
- 回避策はない:残念ながら、簡単な回避策や、一時的な修正はない。これらの脆弱性を軽減する唯一の確実な方法は、HTTP/3 を無効化することだ。
今後の展望
F5 はユーザーに対して、HTTP/3 を本番環境で使用する際には、当面の間は細心の注意を払うよう警告している。このプロトコルは、高速化と耐障害性を約束する一方で、初期の採用段階ではセキュリティ上の皺寄せが残る可能性がある。これらの脆弱性の発見が浮き彫りにするのは、特に最先端の Web 技術を採用する場合において、厳密なテストと脅威モデリングが重要になることだ。
HTTP/3 に関する、より深い技術的な問い合わせや詳細な設定手順については、NGINX の公式セキュリティ・アドバイザリの関連リンクから確認できる。
だいぶ前のことですが、NGINX のシェアが上がっていると、どこかで読んだことがあったので、あらためて調べてみました。MANUON というサイトで、日本の Web サーバ・シェアが紹介されていて、Apache を抑えて1位という状況でした。今回の脆弱性は、HTTP/3 実装に関連するものですが、ご利用のチームは、アップグレードをお急ぎください。よろしければ、NGINX で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.