Webサーバー「nginx」にセキュリティ更新、「njs」には致命的な脆弱性も

「nginx」にアップデート

　クロスプラットフォーム対応・オープンソースのWebサーバーシステム「nginx」（エンジンエックス）が5月13日、v1.30.1（stable）、v1.31.0（mainline）へとアップデートされた。現在、公式サイト「nginx.org」などから無償でダウンロード可能。Windows版はWindows XP/7/10/11およびWindows Server 2003でテストされている。

　今回のアップデートは、以下の脆弱性に対処したセキュリティアップデート。

• CVE-2026-42926：HTTP/2 request injection in the ngx_http_proxy_module（Medium）
• CVE-2026-42945：Buffer overflow in the ngx_http_rewrite_module（Medium）
• CVE-2026-42946：Buffer overread in the ngx_http_scgi_module and ngx_http_uwsgi_module（Medium）
• CVE-2026-42934：Buffer overread in the ngx_http_charset_module（Low）
• CVE-2026-40460：HTTP/3 address spoofing（Medium）
• CVE-2026-40701：resolver use-after-free in OCSP（Medium）

　加えて、「mainline」の最新版であるv1.31.0では、新たにHTTPフォワードプロキシ機能がサポートされている。ちなみに、「stable」は、安定性に注力したバージョン。「mainline」はそれよりも新機能の追加と不具合の修正を優先したバージョンで、最新機能を追いかけたいユーザー向けだ。

　なお、5月19日には「ngx_http_js_module」（njs）v0.9.9がリリースされ、「js_fetch_proxy」におけるヒープバッファオーバーフローの脆弱性（CVE-2026-8711）が修正されているので注意。ワーカープロセスのクラッシュ（DoS）につながる恐れがあるほか、セキュリティ機能「ASLR」が無効な環境では、最悪の場合、任意のコードが実行されてしまう可能性がある。

　深刻度の評価は、「CVSS 4.0」の基本値で「9.2」（10点満点、Critical）。「njs」を利用している場合は、できるだけ早い対処が望ましい。