NGINX is an advanced Internet infrastructure software. |
Nginxの1.3.9から1.4.0のバージョンにバッファオーバーフローの脆弱性があることが明らかになった。これを受けてNginxの開発チームは問題を修正したNginx 1.4.1安定版およびNginx 1.5.0開発版を公開した。特定の細工されたリクエストを送信されると、パーサにおける不正チェックをくぐり抜けてスタックがバッファオーバーフローを起こすという脆弱性で、この脆弱性を利用されると任意のコードが実行される危険性がある。
Nginx 1.4.0はまだリリースされてからさほど時間がたっておらず、採用しているサーバの割合はかなり少ないものと想定される。多くの場合、ひとつ前の安定版である1.2系を採用している。1.2系はこの問題を持っていないため、そのまま運用することが可能。現在の1.2系最新版は1.2.8。
ただし、今後1.2系はレガシーなブランチとなり、安定版は1.4系となる。現在1.2系を採用している場合には、1.4系のどこかのバージョンで1.4系への移行を検討すべきと言える。