F5 NGINX는 출시 전에 보안 문제를 찾을 수 있도록 최적화된 설계, 개발 및 테스트를 포함한 안전한 소프트웨어 라이프사이클에 전념하고 있습니다. 위협 모델링, 보안 코딩, 교육 및 테스트를 우선시하는 동안 취약점이 간혹 발생합니다.
지난 달, NGINX 오픈 소스 커뮤니티의 한 회원은 HTTP/3 모듈에서 NGINX 오픈 소스에 충돌을 일으킨 두 가지 버그를 보고했습니다. 불량 행위자가 특수하게 조작된 HTTP/3 요청을 전송하여 NGINX 인스턴스에 대한 서비스 거부 공격을 일으킬 수 있다고 판단했습니다. 이 때문에 NGINX는 방금 CVE-2024-24989와 CVE-2024-24990 두 가지 취약점을 발표했습니다.
이 취약성은 CVE(Common Vulnerabilities and Exposes) 데이터베이스에 등록되었으며, F5 SIRT(Security Incident Response Team)는 CVS v3.1(Common Vulnerability Scoring System) 척도를 사용하여 점수를 할당했습니다.
출시 당시 NGINX의 QUIC 및 HTTP/3 기능은 실험적인 것으로 간주되었습니다. 과거에는 실험 기능을 위해 CVE를 발행하지 않았으며 대신 관련 코드를 패치하여 표준 릴리스의 일부로 릴리스했습니다. NGINX Plus 상용 고객의 경우 이전 두 가지 버전이 패치되어 고객에게 출시됩니다. NGINX Open Source에 대해 유사한 패치를 발행하지 않는 것은 우리 커뮤니티에 해가 될 것이라고 생각했습니다. 또한 오픈 소스 브랜치에서 문제를 해결하면 바이너리를 제공하지 않고도 사용자가 취약성에 노출될 수 있습니다.
NGINX Open Source 및 NGINX Plus용 패치를 출시하기로 결정한 것은 고객과 커뮤니티를 위해 안전성이 높은 소프트웨어를 제공하는 올바른 작업에 뿌리를 두고 있습니다. 또한 미래의 보안 취약성을 적시에 투명하게 처리하는 방법에 대한 명확한 정책을 문서화하고 발표할 것을 약속하고 있습니다.
F5 NGINX는 출시 전에 보안 문제를 찾을 수 있도록 최적화된 설계, 개발 및 테스트를 포함한 안전한 소프트웨어 라이프사이클에 전념하고 있습니다. 위협 모델링, 보안 코딩, 교육 및 테스트를 우선시하는 동안 취약점이 간혹 발생합니다.
지난 달, NGINX 오픈 소스 커뮤니티의 한 회원은 HTTP/3 모듈에서 NGINX 오픈 소스에 충돌을 일으킨 두 가지 버그를 보고했습니다. 불량 행위자가 특수하게 조작된 HTTP/3 요청을 전송하여 NGINX 인스턴스에 대한 서비스 거부 공격을 일으킬 수 있다고 판단했습니다. 이 때문에 NGINX는 방금 CVE-2024-24989와 CVE-2024-24990 두 가지 취약점을 발표했습니다.
이 취약성은 CVE(Common Vulnerabilities and Exposes) 데이터베이스에 등록되었으며, F5 SIRT(Security Incident Response Team)는 CVS v3.1(Common Vulnerability Scoring System) 척도를 사용하여 점수를 할당했습니다.
출시 당시 NGINX의 QUIC 및 HTTP/3 기능은 실험적인 것으로 간주되었습니다. 과거에는 실험 기능을 위해 CVE를 발행하지 않았으며 대신 관련 코드를 패치하여 표준 릴리스의 일부로 릴리스했습니다. NGINX Plus 상용 고객의 경우 이전 두 가지 버전이 패치되어 고객에게 출시됩니다. NGINX Open Source에 대해 유사한 패치를 발행하지 않는 것은 우리 커뮤니티에 해가 될 것이라고 생각했습니다. 또한 오픈 소스 브랜치에서 문제를 해결하면 바이너리를 제공하지 않고도 사용자가 취약성에 노출될 수 있습니다.
NGINX Open Source 및 NGINX Plus용 패치를 출시하기로 결정한 것은 고객과 커뮤니티를 위해 안전성이 높은 소프트웨어를 제공하는 올바른 작업에 뿌리를 두고 있습니다. 또한 미래의 보안 취약성을 적시에 투명하게 처리하는 방법에 대한 명확한 정책을 문서화하고 발표할 것을 약속하고 있습니다.