F5 NGINX는 출시 전에 보안 문제를 발견하도록 최적화된 설계, 개발 및 테스트를 포함하여 안전한 소프트웨어 수명 주기를 위해 최선을 다하고 있습니다. 위협 모델링, 보안 코딩, 교육 및 테스트에 우선순위를 두고 있지만 취약점은 때때로 발생합니다.
지난 달, NGINX 오픈 소스 커뮤니티의 한 회원이 NGINX 오픈 소스에서 충돌을 일으킨 HTTP/3 모듈의 두 가지 버그를 보고했습니다. 악의적인 공격자가 특수하게 조작된 HTTP/3 요청을 전송하여 NGINX 인스턴스에 대한 서비스 거부 공격을 일으킬 수 있다고 판단했습니다. 이러한 이유로 NGINX는 방금 두 가지 취약점을 발표했습니다: CVE-2024-24989 및 CVE-2024-24990.
이 취약점들은 공통 취약점 및 노출(CVE) 데이터베이스에 등록되었으며, F5 보안 사고 대응 팀(F5 SIRT)에서 공통 취약점 점수 시스템(CVSS v3.1) 척도를 사용하여 점수를 부여했습니다.
출시 당시 NGINX의 QUIC 및 HTTP/3 기능은 실험적인 것으로 간주되었습니다. 지금까지는 실험적 기능에 대해 CVE를 발행하지 않았으며, 대신 관련 코드를 패치하여 표준 릴리스의 일부로 릴리스했습니다. NGINX Plus의 상용 고객의 경우, 이전 두 버전이 패치되어 고객에게 릴리스되었습니다. NGINX 오픈 소스에 대해 유사한 패치를 배포하지 않는 것은 커뮤니티에 해가 될 수 있다고 생각했습니다. 또한 오픈 소스 브랜치에서 문제를 해결하면 바이너리를 제공하지 않고도 사용자가 취약점에 노출될 수 있었을 것입니다.
저희는 고객과 커뮤니티를 위해 보안성이 뛰어난 소프트웨어를 제공한다는 옳은 일을 하기로 결정하고 NGINX 오픈 소스와 NGINX Plus 모두에 대한 패치를 릴리스하기로 했습니다. 또한, 향후 보안 취약점을 적시에 투명하게 해결하는 방법에 대한 명확한 정책을 문서화하고 공개하기 위해 노력하고 있습니다.
F5 NGINX는 출시 전에 보안 문제를 발견하도록 최적화된 설계, 개발 및 테스트를 포함하여 안전한 소프트웨어 수명 주기를 위해 최선을 다하고 있습니다. 위협 모델링, 보안 코딩, 교육 및 테스트에 우선순위를 두고 있지만 취약점은 때때로 발생합니다.
지난 달, NGINX 오픈 소스 커뮤니티의 한 회원이 NGINX 오픈 소스에서 충돌을 일으킨 HTTP/3 모듈의 두 가지 버그를 보고했습니다. 악의적인 공격자가 특수하게 조작된 HTTP/3 요청을 전송하여 NGINX 인스턴스에 대한 서비스 거부 공격을 일으킬 수 있다고 판단했습니다. 이러한 이유로 NGINX는 방금 두 가지 취약점을 발표했습니다: CVE-2024-24989 및 CVE-2024-24990.
이 취약점들은 공통 취약점 및 노출(CVE) 데이터베이스에 등록되었으며, F5 보안 사고 대응 팀(F5 SIRT)에서 공통 취약점 점수 시스템(CVSS v3.1) 척도를 사용하여 점수를 부여했습니다.
출시 당시 NGINX의 QUIC 및 HTTP/3 기능은 실험적인 것으로 간주되었습니다. 지금까지는 실험적 기능에 대해 CVE를 발행하지 않았으며, 대신 관련 코드를 패치하여 표준 릴리스의 일부로 릴리스했습니다. NGINX Plus의 상용 고객의 경우, 이전 두 버전이 패치되어 고객에게 릴리스되었습니다. NGINX 오픈 소스에 대해 유사한 패치를 배포하지 않는 것은 커뮤니티에 해가 될 수 있다고 생각했습니다. 또한 오픈 소스 브랜치에서 문제를 해결하면 바이너리를 제공하지 않고도 사용자가 취약점에 노출될 수 있었을 것입니다.
저희는 고객과 커뮤니티를 위해 보안성이 뛰어난 소프트웨어를 제공한다는 옳은 일을 하기로 결정하고 NGINX 오픈 소스와 NGINX Plus 모두에 대한 패치를 릴리스하기로 했습니다. 또한, 향후 보안 취약점을 적시에 투명하게 해결하는 방법에 대한 명확한 정책을 문서화하고 공개하기 위해 노력하고 있습니다.
위 내용과 같이 NGINX Plus를 활용하여 Demo 가 필요하시면 하단의 전문가에게 상담받기 버튼을 클릭해주세요.
전문가에게 상담받기
'