F5、リモートコード実行やメモリ漏洩、DoS攻撃につながる可能性のあるNGINXの脆弱性3件を修正

F5は、NGINX PlusおよびNGINX Open Sourceに影響する3件の脆弱性に関するセキュリティアドバイザリを公開しました。これらの脆弱性は、未認証の攻撃者によってワーカープロセスのクラッシュを引き起こされたり、限定的なメモリ内容を漏洩させられたり、特定の条件下ではコードを実行される恐れがあるというものです。

CVE-2026-56434CVE-2026-42533CVE-2026-60005として識別されたこれらの脆弱性は、NGINXの制御プレーンではなく、データプレーンにおけるリクエスト処理部分に影響を及ぼします。

F5、NGINXの脆弱性3件を修正

これらの脆弱性の悪用は、特定のモジュール構成の組み合わせに依存する場合がほとんどであるため、該当する構成で運用している組織は自社の設定内容を確認し、F5が提供するアップデートを速やかに適用することが推奨されます。

  • CVE-2026-56434K000162098): ngx_http_ssi_moduleに存在するuse-after-free(解放済みメモリ使用)の欠陥。限定的なメモリ改変やNGINXワーカープロセスの再起動を引き起こす可能性があります。
  • CVE-2026-42533K000162097): mapディレクティブと正規表現キャプチャに関連するヒープバッファオーバーフロー。サービス拒否や、場合によってはコード実行につながる恐れがあります。
  • CVE-2026-60005K000162100): ngx_http_slice_moduleにおける未初期化メモリアクセスの欠陥。限定的なプロセスメモリの漏洩やワーカーの再起動を引き起こす可能性があります。

最も深刻な問題はCVE-2026-42533で、これはmapディレクティブにおける正規表現マッチングを使ったNGINXの設定処理方法に起因しています。

この脆弱性は、文字列式がmap出力変数より前にmapに関連付けられた正規表現キャプチャ変数を参照する場合に発生します。F5は、特定の状況下でキャッシュ不可の変数が文字列式で使用された場合にも同様の状態が発生し得ると指摘しています。

未認証のリモート攻撃者は、特別に細工したHTTPリクエストを送信することで、NGINXワーカープロセス内のヒープバッファオーバーフローを悪用できます。

悪用に成功するとワーカーがクラッシュし、サービス拒否状態に陥る恐れがあります。F5はまた、アドレス空間配置のランダム化(ASLR)が無効になっている場合や、攻撃者がASLR保護を回避できる場合には、コード実行が可能になるシナリオもあり得ると注意を促しています。

この状況は、正規表現キャプチャや動的変数に依存する複雑なNGINXのmap設定を見直すことの重要性を改めて示しています。

CVE-2026-56434は、Server-Side Includes(SSI)モジュールが有効になっており、なおかつ`proxy_pass`と組み合わせて`proxy_buffering`が無効化された状態で構成されている環境に影響します。

攻撃者は、アップストリームサーバーからのレスポンスを制御できる中間者(MITM)的な立場を確保している必要があります。この条件下では、悪意あるアップストリームコンテンツによって、NGINXワーカープロセス内でuse-after-free状態が引き起こされます。

F5はCVE-2026-56434をCWE-416(use-after-free)に分類しています。この脆弱性が悪用されると、メモリ内容の限定的な改変や、ワーカープロセスの強制的な再起動につながる恐れがあります。

アップストリームのレスポンスを制御できることが条件となるため、インターネット経由での日和見的な悪用が発生する可能性は低くなりますが、特に外部が管理する、あるいは侵害された、または十分に信頼できないアップストリームサービスへNGINXがトラフィックをプロキシしている場合、組織はこの脆弱性を軽視すべきではありません。

脆弱性スキャンツール

3つ目の問題であるCVE-2026-60005は、オプションのngx_http_slice_moduleに影響します。このバグは、sliceディレクティブが名前のない正規表現キャプチャで構成されている場合、またはバックグラウンドでのキャッシュ更新が発生した場合にトリガーされる可能性があります。

悪意を持って細工されたリクエストによって未初期化メモリへのアクセスが発生し、NGINXワーカープロセスの限定的なメモリ内容が露出したり、再起動が引き起こされたりする可能性があります。

F5はCVE-2026-60005をCWE-908(未初期化リソースの使用)に分類しています。ngx_http_slice_moduleはデフォルトでは有効になっておらず、`–with-http_slice_module`パラメータを指定したコンパイルが必要であるため、影響を受ける攻撃対象範囲は限定的です。

影響を受ける製品には、脆弱なモジュールや設定パターンを利用しているNGINX PlusおよびNGINX Open Sourceの導入環境が含まれます。管理者は、バージョンごとの修正版についてF5のアドバイザリK000162098、K000162097、K000162100を確認し、該当するインスタンスをアップグレードするとともに、map、SSI、proxy buffering、sliceモジュールの各設定を監査することが推奨されます。

 脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNを自社SOCに統合する はこちら

翻訳元: https://gbhackers.com/f5-fixes-3-nginx-flaws/

ソース: gbhackers.com