F5は、NGINX ngx_http_mp4_moduleの高度な重大度の脆弱性(CVE-2026-32647)を公開しました。これは攻撃者が細工されたMP4ファイルを使用して任意のコードを実行するか、サービス拒否(DoS)を引き起こすことを許可します。
この脆弱性は、MP4ストリーミングモジュールがサーバー設定で明示的に有効化されているNGINX PlusおよびNGINXオープンソースのデプロイメントに影響します。
脆弱性の詳細
CVE-2026-32647として追跡されるセキュリティフローは、CWE-125の範囲外読み取りとして分類されます。
CVSS v4.0スコアは8.5、CVSS v3.1スコアは7.8で、高度な重大度を反映しています。
この問題はデータプレーン内に完全に存在し、ローカル認証攻撃者が悪意のある細工されたMP4ファイルのアップロードまたは処理をトリガーする必要があります。
NGINXワーカーメモリがこの細工されたファイルを処理する場合、バッファオーバーリードまたはオーバーライトをトリガーできます。
このメモリ破損により、NGINXワーカープロセスが再起動され、一時的にトラフィックが低下し、DoS状態が発生します。
特定の条件下では、このメモリ破損は、ホストサーバー上でリモートコード実行を実現するために悪用される可能性があります。
幸いなことに、MP4モジュールはNGINXオープンソースではデフォルトで無効であり、設定ファイルに明示的にmp4ディレクティブを追加した管理者のみが公開されていることを意味します。
影響を受ける製品と修正
F5は、この脆弱性がウェブサーバーソフトウェアの複数のバージョンに影響を与えることを確認し、問題に対処するための公式パッチをリリースしました。
NGINX Plusでは、脆弱性はR3xブランチに影響し、特にR32からR36のバージョンです。
NGINX Plusを使用する管理者は、この脅威に対して環境を保護するために、バージョンR36 P3、R35 P2、またはR32 P5にアップグレードする必要があります。
NGINXオープンソースでは、脆弱性は1.xブランチに影響し、バージョン1.1.19から1.29.6にまたがります。
開発チームはNGINXオープンソースバージョン1.29.7および1.28.3で修正を導入しました。
BIG-IP Next、BIG-IQ集約管理、F5OS、およびF5 Distributed Cloud Servicesを含む他のF5製品は評価されており、この特定のMP4モジュール脆弱性に対して脆弱ではありません。
軽減策と回避策
Aisle ResearchのセキュリティリサーチャーXint CodeおよびPavel Kohoutは、この脆弱性をF5に責任を持って開示したことで信用されています。
公式ソフトウェア更新をすぐに適用できない管理者は、リスクを軽減するための一時的な回避策を実装できます。
主な軽減戦略は、信頼されたユーザーのみへのオーディオおよびビデオファイルの公開を厳密に制限することです。
あるいは、組織は通常/etc/nginxディレクトリにあるNGINX設定ファイル内のmp4ディレクティブをコメントアウトすることにより、MP4疑似ストリーミングサポートを完全に無効化できます。
http、server、またはlocationコンテキスト内の任意のmp4ディレクティブの前にハッシュ文字(#)を追加することにより、モジュールは中和されます。
これらの変更を保存した後、管理者はsudo nginx -tコマンドを使用して構文を確認し、sudo service nginx reloadを使用してサービスをリロードして安全にアップデートを適用する必要があります。
翻訳元: https://gbhackers.com/f5-nginx-plus-open-source-flaw/
