NGINX Releases Security Updates: HTTP/3 Vulnerabilities Patched
2024/05/30 SecurityOnline — 直近のセキュリティ・アドバイザリで、NGINX 開発チームがユーザーに推奨しているのは、最新の Web サーバ・ソフトウェア・リリースへの、早急なアップグレードである。このアップデートは、特に “ngx_http_v3_module” を使用する際のコンフィグレーションに影響を及ぼす、HTTP/3 実装に関連する4つの深刻な脆弱性に対処している。
CVE-2024-32760: NGINX Plus または NGINX OSS が、HTTP/3 QUIC モジュールを使用するようにコンフィグされている場合には、バッファ上書きの脆弱性が発生する。この脆弱性により、NGINX ワーカー・プロセスの予期しない終了などの潜在的な影響が、非公開の HTTP/3 エンコーダ命令により引き起こされる可能性がある。
CVE-2024-31079:スタック・オーバーフローおよび、ユーズ・アフター・フリーの脆弱性。この脆弱性を悪用するには、接続プロセスを枯渇させる特別なタイミングで、HTTP/3 リクエストを行う必要があり、攻撃者にとって影響を与えることは容易ではない。この脆弱性が悪用されると、NGINX ワーカー・プロセスの終了につながる可能性が生じる。
CVE-2024-35200:NULL ポインタ非参照の脆弱性が、非公開の HTTP/3 リクエストにより引き起こされ、NGINX ワーカー・プロセスを終了させる。
CVE-2024-34161:最大伝送単位 (MTU) 4096 以上のネットワーク上で、フラグメント化されていないという状況で、NGINX Plus または NGINX OSS が、HTTP/3 QUIC モジュールを使用するように設定されている場合に発生する、メモリ・リークの問題である。非公開の QUIC パケットにより、以前に解放されたメモリがリークする可能性が生じる。
NGINX Plus のユーザーに対しても、リリース 32 (R32) という形で、アップデートが提供されている。このリリースは、nginx 1.25.5 をベースにしており、必要なセキュリティパッチなどのバグ修正を取り込んでいる。
これらの脆弱性の深刻度は Medium だが、NGINX の HTTP/3 機能に依存する Web サイト/アプリにとっては重大なリスクとなる。管理者およびユーザーに強く推奨されるのは、NGINX の最新バージョン (nginx 1.27.0/1.26.1) をインストールし、Web サービスの継続的なセキュリティと安定性を確保することだ。
NGINX に脆弱性です。ご利用ください、迅速なアップデートを、ご検討ください。何年も前のことですが、Web ブラウザにおける NGINX のシェアが高いことに、驚いたことがあります。それだけに、影響が懸念される脆弱性となります。よろしければ、NGINX で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.