F5は水曜日、NGINXとBIG-IPに存在する8件の脆弱性を修正する定例外セキュリティアップデートを発表しました。
最も深刻な脆弱性はCVE-2026-42533(CVSSスコア9.2)で、NGINX PlusおよびNGINX Open Sourceに存在するクリティカルな問題です。細工されたHTTPリクエストを介して悪用されると、ヒープバッファオーバーフローを引き起こし、NGINXワーカープロセスを再起動させる可能性があります。
F5は次のように説明しています。「NGINX PlusおよびNGINX Open Sourceには、mapディレクティブが正規表現マッチングを使用し、文字列式がmapの出力変数を参照する前にmapの正規表現キャプチャ変数を参照する場合に発生する脆弱性が存在します。あるいは、特定の条件下で文字列式にキャッシュ不可能な変数を使用することでも、同様の結果を引き起こせます」
攻撃者はこの脆弱性を認証なしで悪用できますが、それは攻撃者自身が制御できない条件下でのみ可能です。アドレス空間配置のランダム化(ASLR)が無効化されているシステムでは、攻撃者はコード実行を達成できます。
F5の今回のパッチでは、複数の深刻度の高いNGINXのバグも修正されています。これには、認証なしで悪用可能なngx_http_slice_moduleモジュールおよびngx_http_ssi_moduleモジュールの脆弱性が含まれます。
これらの脆弱性が悪用されると、攻撃者はメモリ内容を漏洩させたり、NGINXワーカープロセスを再起動させたり、あるいはNGINXワーカープロセスでuse-after-freeを引き起こしてメモリを改変したりプロセスを再起動させたりできます。
NGINX Ingress Controllerで対処された深刻度の高い2件の脆弱性は、認証済みの攻撃者が任意のNGINX設定ディレクティブを注入してファイルを削除したりサービスを無効化したりする、あるいはIngressやTransportServerのリソースを作成・改変してサービス拒否(DoS)状態を引き起こす可能性がありました。
F5はまた、BIG-IPにおける深刻度の高いセキュリティ上の欠陥も修正しました。これは、仮想サーバーにHTTP/2プロファイルが設定されている場合、リモートの未認証攻撃者によってメモリリソースの使用量を増大させられ、DoS状態を引き起こされる可能性があるというものです。
F5は、これらの脆弱性が実際に悪用された事例については一切言及していません。詳細情報は同社の定例外セキュリティ通知で確認できます。
翻訳元: https://www.securityweek.com/f5-patches-multiple-nginx-big-ip-vulnerabilities/