Next.jsのメンテナーは、9件の脆弱性への対応を目的とした7月のセキュリティリリースを予定していると発表しました。内訳は深刻度「高」が4件、「中」が5件です。
パッチは2022年7月20日にリリースされる見込みで、Next.js 16.2および15.5の更新版が含まれます。
Next.jsの7月セキュリティリリース
今回の発表は、正式なNext.js向けセキュリティリリースプログラムの開始を告げるものです。これまでのように予告なくその場しのぎで修正を出すのではなく、プロジェクトは今後、月1回程度のペースで予定されているセキュリティ更新について事前に告知するようになります。
セキュリティ製品・サービス
各告知では、公開予定時期と、対応する脆弱性のうち最も深刻度が高いものの評価が明示されます。これにより、開発チームやセキュリティチームは本番環境への展開に先立ち、アップグレードの作業枠を計画し、デプロイ内容を検証できるようになります。
Next.jsの開発元であるVercelは、7月の更新に関する脆弱性の詳細、概念実証(PoC)情報、影響を受けるコードパス、CVE番号については、現時点でまだ公開していません。
このように開示を遅らせるのは、詳細な技術情報が一般公開される前に、ユーザーやホスティングプロバイダー、プラットフォームパートナーが修復措置やセキュリティ管理策を準備できる時間を確保するためです。
今回のリリースでは、Next.jsのバージョン16.2および15.5が対象となります。各組織は、現在導入しているバージョンを確認したうえで、公式アドバイザリが公開され次第、内容を確認する必要があります。
古いバージョンやサポート対象外のバージョンを使用しているチームは、修正パッチを適用する前に、サポートされているリリースへのアップグレードが必要になる場合があります。パッチが公開された後は、管理者はアプリケーションの依存関係を更新し、デプロイを再ビルドしたうえで対象サービスを再デプロイし、ロックファイルやコンテナイメージが修正済みのパッケージバージョンを参照していることを確認する必要があります。
なお、この新しいスケジュールは緊急パッチの適用に代わるものではない点に注意が必要です。Vercelは、実際に悪用されている脆弱性、特に深刻な脆弱性、あるいは次回の定期リリースまで待てない脆弱性については、引き続き臨時のアップデートをリリースするとしています。こうした情報は、過去にReact2Shell関連のセキュリティ問題を扱った際と同様、Next.jsのブログを通じて告知される予定です。
今回の変更の背景には、大規模言語モデル(LLM)を活用した分析支援によって加速している、ソフトウェア業界全体での脆弱性発見件数の増加傾向があります。
Next.jsは、Vercel Labsの「deepsec」プロジェクトをはじめとする自動セキュリティツールや社内リサーチ、さらに拡充されたバグバウンティプログラムを活用し、脆弱性が悪用される前に問題を特定する取り組みを進めています。
インターネットに公開されたNext.jsアプリケーションを運用している組織は、深刻度「高」の脆弱性が含まれることから、7月のリリースを優先度の高いメンテナンス案件として扱うべきです。
セキュリティチームには、外部に公開されているアプリケーションの棚卸しを行い、Next.jsのバージョン16.2または15.5を稼働させているデプロイを特定し、アップグレードに向けたテストを準備するとともに、2022年7月20日のリリースに先立ってWAF(Webアプリケーションファイアウォール)のカバー範囲や監視ルールを見直すことが推奨されます。研究者は、HackerOne上のVercelのオープンソース・バグバウンティプログラムを通じて、対象となるフレームワークの脆弱性を報告できます。
脅威検知とインシデント対応の迅速化でSOCを強化 -> ANY.RUNを自社のSOCに統合する方法はこちら。
翻訳元: https://gbhackers.com/next-js-announces-july-security-release/