Nginx 1.29.8 and FreeNginx Released With Critical Security Updates
2026/04/13 CyberSecurityNews — Nginx.org が公表したのは、Nginx 1.29.8/FreeNginx における重要なセキュリティ・アップデートの正式リリースである。2026年4月7日に公開された一連のバージョンで導入されたのは、堅牢なサーバ・パフォーマンスを確保し、最新のサイバー脅威から防御するために設計された、重要なセキュリティ機能/強化された暗号化互換性/重要なバグ修正などである。Web サーバ管理者にとって必要なことは、このインフラの更新を最優先で実施することだ。
コア開発者 Maxim Dounin により作成されたフォーク FreeNginx も、これらの更新を反映しており、Web サーバ・エコシステムにおけるユーザー保護が維持されている。
今回の 1.29.8 における最も重要な更新の一つは、OpenSSL 4.0 への対応追加である。高度化する脅威アクターに対抗するために、最新の OpenSSL フレームワークとの互換性維持は転送中データの保護において不可欠である。この統合により、管理者は高度な暗号プロトコルを活用し、傍受技術や新たな暗号脆弱性から機密性の高い Web トラフィックを保護できる。
新しいセキュリティ制御とディレクティブ
HTTP ベースの攻撃に対する耐性強化のために、Nginx 1.29.8 で導入されたのは、Maxim Dounin により開発された max_headers ディレクティブである。
この機能により、クライアント・リクエストで受け入れる HTTP ヘッダ数の上限が厳格に制御されるため、リソース枯渇攻撃の緩和や、DoS 攻撃で悪用されるバッファ・オーバーフロー脆弱性の防止が可能となる。
さらに、geo ブロック内の include ディレクティブがワイルドカードに対応した。これにより、地理情報ベースのアクセス制御リスト管理が効率化され、大規模環境における IP 制御やブロック設定の運用が合理化される。
このアップデートでは、セキュリティ強化に加えて、サーバ安定性に影響を及ぼす処理エラーも修正されている。プロキシ・バックエンド経由でルーティングされる、HTTP 103 (Early Hints) 応答処理に関するバグが修正され、ブラウザは接続処理を中断することなくプリロード指示を安定して受信できるようになった。
また、内部ルーティングに関する問題も修正されており、従来のサブリクエストで利用できなかった request_port/is_request_port 変数が正常に使用できるようになった。この修正により、内部ルーティングおよびロギング機構の正確性が向上し、トラフィック監視を行うインシデント・レスポンスにおける信頼性が確保される。
Nginx/FreeNginx を利用する管理者に対して、サイバー・セキュリティ専門家たちが強く推奨するのは、バージョン 1.29.8 へと速やかにアップデートし、攻撃対象領域の縮小と Web インフラ保護を推進することだ。
訳者後書:今回のアップデートは、主に Web サーバがリクエストを処理する際の制限不足や、新しい通信規格への最適化が不十分だったことが原因で実施されました。具体的には、 HTTP ヘッダの数を制限しきれないことでサーバの負荷が高まってしまう問題や、最新の OpenSSL 4.0 との連携がスムーズにいかないといった点が挙げられます。また、 HTTP 103 (Early Hints) という特殊な応答を返す際の不具合や、内部変数の読み込みミスといった細かな処理の積み重ねが、全体の不安定さにつながっていました。よろしければ、Nginx での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.