nginx Projectは6月17日(現地時間)、Webサーバソフトウェア「nginx 1.31.2」および「nginx 1.30.3」をリリースした。
「nginx」は、リバースプロキシ、キャッシュ、負荷分散、圧縮などの機能を持ち、高速、軽量、安全性などを特徴としたHTTPサーバ。イベント駆動型アーキテクチャを採用している。
「nginx 1.31.2」は新機能を継続的に取り込むmainline系列、「nginx 1.30.3」はstable系列のセキュリティアップデート。HTTP/3やHTTP/2、gRPC、文字コード変換処理に関する複数の脆弱性が修正されている。
「nginx 1.31.2/1.30.3」のハイライトは次の通り。
〇HTTP/3で細工されたQUICセッションを処理した際にuse-after-freeが発生する問題を修正(CVE-2026-42530、1.31.2のみ)
〇HTTP/2またはgRPCバックエンドへのプロキシ処理でヒープバッファオーバーフローが発生する問題を修正(CVE-2026-42055)
〇charset_mapによるUTF-8からの変換時にヒープバッファオーバーリードが発生する問題を修正(CVE-2026-48142)
〇$request_id変数の生成にSipHash-2-4を採用(1.31.2のみ)
〇クライアントが提示した署名アルゴリズムを取得する$ssl_sigalgs変数を追加(1.31.2のみ)
〇split_clientsディレクティブで変数が空になる場合がある問題を修正(1.31.2のみ)
〇secure_linkのハッシュ比較を定数時間処理へ変更(1.31.2のみ)
など。
「nginx 1.31.2」および「nginx 1.30.3」は、公式サイトからダウンロードできる。
mainline系列の変更履歴
stable系列の変更履歴
nginxセキュリティアドバイザリ
「nginx」は、リバースプロキシ、キャッシュ、負荷分散、圧縮などの機能を持ち、高速、軽量、安全性などを特徴としたHTTPサーバ。イベント駆動型アーキテクチャを採用している。
「nginx 1.31.2」は新機能を継続的に取り込むmainline系列、「nginx 1.30.3」はstable系列のセキュリティアップデート。HTTP/3やHTTP/2、gRPC、文字コード変換処理に関する複数の脆弱性が修正されている。
「nginx 1.31.2/1.30.3」のハイライトは次の通り。
〇HTTP/3で細工されたQUICセッションを処理した際にuse-after-freeが発生する問題を修正(CVE-2026-42530、1.31.2のみ)
〇HTTP/2またはgRPCバックエンドへのプロキシ処理でヒープバッファオーバーフローが発生する問題を修正(CVE-2026-42055)
〇charset_mapによるUTF-8からの変換時にヒープバッファオーバーリードが発生する問題を修正(CVE-2026-48142)
〇$request_id変数の生成にSipHash-2-4を採用(1.31.2のみ)
〇クライアントが提示した署名アルゴリズムを取得する$ssl_sigalgs変数を追加(1.31.2のみ)
〇split_clientsディレクティブで変数が空になる場合がある問題を修正(1.31.2のみ)
〇secure_linkのハッシュ比較を定数時間処理へ変更(1.31.2のみ)
など。
「nginx 1.31.2」および「nginx 1.30.3」は、公式サイトからダウンロードできる。
(川原 龍人/びぎねっと)
[関連リンク]mainline系列の変更履歴
stable系列の変更履歴
nginxセキュリティアドバイザリ
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
