現在位置: ホーム / Nginx Ch. / nginx 1.9.10 がリリース、3つの脆弱性問題を修正

nginx 1.9.10 がリリース、3つの脆弱性問題を修正

本記事では2016年1月27日にリリースされました nginx 1.9.10 について概要を紹介しております。 CVE-2016-0742、CVE-2016-0746、CVE-2016-0747の脆弱性問題の修正が行われております為、「resolver」ディレクティブを使用されている環境においては、アップデートを頂くことを推奨いたします。

2016年1月27日にNginx 1.9.10がリリースされました。

今回のリリースはCVE-2016-0742、CVE-2016-0746CVE-2016-0747の脆弱性問題の修正が含まれておりますので、脆弱性が該当する方はアップデート頂くことを推奨いたします。

参考訳を下記にご紹介します。

  • セキュリティ:「resolver」ディレクティブを使用した場合、無効なポインタ参照がDNSサーバーの応答の処理中に発生する可能性があります。攻撃者はワーカープロセスでセグメンテーションフォルトが発生するようにDNSサーバーからのUDPパケットを偽造することができます。(CVE-2016-0742)
  • セキュリティ:「resolver」ディレクティブを使用した場合、使用後にフリーな状態がCNAME応答処理中に発生する可能性のありますこれにより、ワーカープロセスでセグメンテーション違反が発生する名前解決を誘発することができる攻撃を可能にする、または潜在的な他の影響を与える可能性があります。 (CVE-2016-0746)
  • セキュリティ:「resolver」ディレクティブが使用された場合、CNAME分析の制限は不十分でした。ワーカープロセスにおける過度のリソース消費を引き起こすために、任意の名前解決をトリガにした、攻撃者が可能になります。(CVE-2016-0747)
  • 機能追加:「worker_cpu_affinity」ディレクティブの"auto"パラメータを追加。
  • バグ修正:IPv6はソケットを聞くと「listen"」ディレクティブの「proxy_protocol」パラメータが動作しませんでした。
  • バグ修正:「keepalive」ディレクティブを使用した場合、アップストリームサーバーへの接続が誤ってキャッシュされている可能性がありました。
  • バグ修正:プロキシは、「X-Accel-Redirect」のリダイレクト後に元のリクエストのHTTPメソッドを使用していました。

 

正式には下記の原文をご参照ください。

Changes with nginx 1.9.10                                        26 Jan 2016

    *) Security: invalid pointer dereference might occur during DNS server
       response processing if the "resolver" directive was used, allowing an
       attacker who is able to forge UDP packets from the DNS server to
       cause segmentation fault in a worker process (CVE-2016-0742).

    *) Security: use-after-free condition might occur during CNAME response
       processing if the "resolver" directive was used, allowing an attacker
       who is able to trigger name resolution to cause segmentation fault in
       a worker process, or might have potential other impact
       (CVE-2016-0746).

    *) Security: CNAME resolution was insufficiently limited if the
       "resolver" directive was used, allowing an attacker who is able to
       trigger arbitrary name resolution to cause excessive resource
       consumption in worker processes (CVE-2016-0747).

    *) Feature: the "auto" parameter of the "worker_cpu_affinity" directive.

    *) Bugfix: the "proxy_protocol" parameter of the "listen" directive did
       not work with IPv6 listen sockets.

    *) Bugfix: connections to upstream servers might be cached incorrectly
       when using the "keepalive" directive.

    *) Bugfix: proxying used the HTTP method of the original request after
       an "X-Accel-Redirect" redirection.
サイオスOSSよろず相談室

サイオスOSSよろず相談室(1)

問い合わせボタン

最新の記事
nginx 1.13.4 リリース 2017年08月09日
NGINX Amplify ベータ版公開中 2017年07月19日
nginx 1.13.3 リリース(CVE-2017-7529 対応) 2017年07月14日
NGINX Plus R12 p3 メンテナンスリリース 2017年06月30日
nginx 1.13.2 リリース 2017年06月28日
【特別企画】 NGINX MANIAX セミナー Vol.1 2017年05月30日
Nginxの Mainline Version の新リリースバージョン nginx 1.13.0 リリース、安定バージョンの nginx 1.12 も公開 2017年04月26日
Nginx 1.11.12 リリース(Nginx 1.11.11のCPU占有問題へのBugFix) 2017年03月27日
NGINX Plus R12 リリース 2017年03月22日
nginx 1.11.11 リリース 2017年03月22日
nginx 1.11.10 リリース 2017年02月15日
nginx 1.11.9 リリース 2017年01月24日
nginx 1.11.7 リリース 2016年12月16日
nginx 1.11.6 リリース 2016年11月16日
NGINX Plus R11 リリース 2016年10月25日
NGINX Plus R10 リリース 2016年09月23日
nginx 1.11.4 リリース 2016年09月22日
Nginx 1.11.3 リリース 2016年07月27日
NGINX Plus R9 リリース 2016年04月20日
nginx 1.9.14 がリリース - OpenSSL 1.1.0 の互換性やHTTP/2上の機能改善 - 2016年04月06日
nginx 1.9.11 がリリース - dynamic modules を追加 - 2016年02月10日
nginx 1.9.10 がリリース、3つの脆弱性問題を修正 2016年01月28日
NGINX Plus Release8 リリース 2016年01月20日
nginx 1.9.9 および nginx 1.9.8 がリリース 2015年12月15日
Nginx 1.9.7 がリリースされました。 2015年11月18日
Nginx 1.9.6 がリリースされました。 2015年10月28日
HTTP/2 に対応した Nginx 1.9.5 がリリースされました。 2015年09月25日
NGINX Plus Release 7 リリース 2015年09月17日
Nginx 1.9.4 がリリースされました。 2015年08月19日
Nginx 1.9.3 がリリースされました。 2015年07月15日
nginx開発者コメント:nginx 1.8およびnginx 1.9リリースについて 2015年07月03日
NGINX Plus R6の高い可用性 2015年07月01日
Nginx 1.9.2 がリリースされました。 2015年06月17日
Nginx 1.9.1 リリース ~デフォルトでSSLv3がdisabledに 2015年05月27日
Nginx 1.9.0 がリリースされました 2015年04月29日
NGINX Plus Release6 リリース 2015年04月15日
Nginx - Web technologies of the year 2014 2015年01月14日
NGINX Plus r5 リリース 2014年12月03日
NIFTY Cloudを利用したNGINX Plusの基本的な構成の導入(第1回) 2014年09月10日
最新の記事 - もっと...