2016年 1月 の投稿一覧

nginx 1.9.10 がリリース、3つの脆弱性問題を修正

本記事では2016年1月27日にリリースされました nginx 1.9.10 について概要を紹介しております。 CVE-2016-0742、CVE-2016-0746、CVE-2016-0747の脆弱性問題の修正が行われております為、「resolver」ディレクティブを使用されている環境においては、アップデートを頂くことを推奨いたします。
 

2016年1月27日にNginx 1.9.10がリリースされました。

今回のリリースはCVE-2016-0742、CVE-2016-0746、CVE-2016-0747の脆弱性問題の修正が含まれておりますので、脆弱性が該当する方はアップデート頂くことを推奨いたします。

参考訳を下記にご紹介します。

  • セキュリティ:「resolver」ディレクティブを使用した場合、無効なポインタ参照がDNSサーバーの応答の処理中に発生する可能性があります。攻撃者はワーカープロセスでセグメンテーションフォルトが発生するようにDNSサーバーからのUDPパケットを偽造することができます。(CVE-2016-0742)
  • セキュリティ:「resolver」ディレクティブを使用した場合、使用後にフリーな状態がCNAME応答処理中に発生する可能性のあります。これにより、ワーカープロセスでセグメンテーション違反が発生する名前解決を誘発することができる攻撃を可能にする、または潜在的な他の影響を与える可能性があります。 (CVE-2016-0746)
  • セキュリティ:「resolver」ディレクティブが使用された場合、CNAME分析の制限は不十分でした。ワーカープロセスにおける過度のリソース消費を引き起こすために、任意の名前解決をトリガにした、攻撃者が可能になります。(CVE-2016-0747)
  • 機能追加:「worker_cpu_affinity」ディレクティブの”auto”パラメータを追加。
  • バグ修正:IPv6はソケットを聞くと「listen”」ディレクティブの「proxy_protocol」パラメータが動作しませんでした。
  • バグ修正:「keepalive」ディレクティブを使用した場合、アップストリームサーバーへの接続が誤ってキャッシュされている可能性がありました。
  • バグ修正:プロキシは、「X-Accel-Redirect」のリダイレクト後に元のリクエストのHTTPメソッドを使用していました。

 

正式には下記の原文をご参照ください。

Changes with nginx 1.9.10                                                                                 26 Jan 2016

*) Security: invalid pointer dereference might occur during DNS server response processing if the “resolver” directive was used, allowing an attacker who is able to forge UDP packets from the DNS server to cause segmentation fault in a worker process (CVE-2016-0742).

*) Security: use-after-free condition might occur during CNAME response processing if the “resolver” directive was used, allowing an attacker who is able to trigger name resolution to cause segmentation fault in a worker process, or might have potential other impact (CVE-2016-0746).

*) Security: CNAME resolution was insufficiently limited if the “resolver” directive was used, allowing an attacker who is able to trigger arbitrary name resolution to cause excessive resource consumption in worker processes (CVE-2016-0747). *) Feature: the “auto” parameter of the “worker_cpu_affinity” directive.

*) Bugfix: the “proxy_protocol” parameter of the “listen” directive did not work with IPv6 listen sockets.

*) Bugfix: connections to upstream servers might be cached incorrectly when using the “keepalive” directive.

*) Bugfix: proxying used the HTTP method of the original request after an “X-Accel-Redirect” redirection.

 

NGINX Plus Release8 リリース

本記事では、2016年1月19日にNginx Inc.よりリリースされました新バージョンについてご案内しています。
 

2016年1月19日に高速Webプラットフォームとして定評のあるオープンソース・ソフトウェア Nginx のエンタープライズ向け製品 「NGINX Plus」の Release8 がリリースされました。

NGINX Plus Release8 では、HTTP/2規格への完全準拠と OAuth 2.0 に対応などが追加されています。

OAuth 2.0 はテクノロジー・プレビューが提供されております。この機能を利用することで、Single Sign On (SSO)でシステムをAPI連携をさせることができるため、独立した認証システムを減らし、結果としてセキュリティが向上させることができるようになります。

主な機能追加としては下記の通りです。

  • OAuth 2.0 のテクノロジー・プレビュー
  • HTTP/2規格への完全準拠
  • On-the-fly reconfiguration API による永続的な構成変更
  • 大容量ビデオファイルのスケーラブルなキャッシュ

詳細はNGINX Plusの下記原文をご覧ください。
本ブログにて、新しく追加された機能について取り上げて行く予定です。

Nginx Inc. – NGINX Plus Release8 (原文)
https://www.nginx.com/blog/nginx-plus-r8-released/