ブログ | NGINX
NGINX アップデートにより 2019 年 8 月の HTTP/2 脆弱性が軽減される
本日、HTTP/2 の多くの実装における脆弱性が最近発見されたことを受けて、NGINX Open Source と NGINX Plus のアップデートをリリースします。 HTTP/2 が有効になっているすべてのシステムをアップグレードすることを強くお勧めします。
2019 年 5 月、 Netflix の研究者は、いくつかの HTTP/2 サーバー実装に多数のセキュリティ脆弱性を発見しました。 これらは、関係する各ベンダーおよびメンテナーに責任を持って報告されました。 NGINX は、次の CVE で詳述されているように、3 つの攻撃ベクトルに対して脆弱でした。
- CVE-2019-9511 (データドリブル)
- CVE-2019-9513 (リソース ループ)
- CVE-2019-9516 (長さゼロのヘッダーの漏洩)
以下の NGINX バージョンでは、これらの脆弱性に対処し、その他の HTTP/2 セキュリティ保護手段を追加しました。
- NGINX 1.16.1 (安定版)
- NGINX 1.17.3 (メインライン)
- NGINX プラス R18 P1
「このブログ投稿には、入手できなくなった製品やサポートされなくなった製品が参照されている場合があります。 利用可能な F5 NGINX 製品およびソリューションに関する最新情報については、 NGINX 製品ファミリーをご覧ください。 NGINX は現在 F5 の一部です。 以前の NGINX.com リンクはすべて、F5.com の同様の NGINX コンテンツにリダイレクトされます。"