ニュース
「nginx」に4件のセキュリティアップデート ~HTTP/3 QUICモジュールに欠陥
クロスプラットフォーム対応・オープンソースのWebサーバーシステム
2024年5月30日 14:45
米F5は5月29日(現地時間)、「nginx 1.26.1」(Stable)および「nginx 1.27.0」(Mainline)をリリースした。4件の脆弱性を修正したセキュリティアップデートとなっている。
- CVE-2024-32760:範囲外書き込み
- CVE-2024-31079:スタックベースのバッファオーバーフロー
- CVE-2024-35200:NULLポインター逆参照
- CVE-2024-34161:メモリ解放後使用
問題はいずれも「ngx_http_v3_module」に関わるもので、ワーカープロセスの異常終了、メモリデータの漏えいなどにつながる恐れがある。
「nginx」(エンジンエックス)は、クロスプラットフォーム対応・オープンソースのWebサーバーシステム。現在、公式サイト「nginx.org」などから無償でダウンロード可能。Windows版はWindows XP/7/10およびWindows Server 2003でテストされている。
なお、今回修正された脆弱性がフォーク(分岐)プロジェクト「freenginx」に影響するかどうかは不明。アナウンスもセキュリティアップデートもまだない。