概要
F5は、NGINX ngx_http_mp4_moduleに存在する深刻な脆弱性(CVE-2026-32647)を発表しました。この脆弱性により、攻撃者が悪意のあるMP4ファイルを使用して任意のコードを実行したり、サービス拒否(DoS)状態を作り出すことができます。
脆弱性の詳細
CVE-2026-32647は、CWE-125として分類され、データ面で発生するアウトオブボンダーズリード(バッファーオーバーフロー)の脆弱性です。CVSS v4.0スコアは8.5、CVSS v3.1スコアは7.8と評価されています。
この脆弱性が発生する条件としては、NGINX PlusやNGINX Open SourceでMP4ストリーミングモジュールが明示的に有効化されていることが必要です。攻撃者はローカルの認証されたユーザーとして悪意のあるMP4ファイルをアップロードまたは処理することで、この脆弱性を利用することができます。
影響範囲と修正
F5は、この脆弱性が影響を受ける製品と修正について以下の通り発表しています:
- NGINX Plus: R3xブランチのバージョンR32からR36までが影響を受けます。アップデートには、R36 P3、R35 P2、またはR32 P5が必要です。
- NGINX Open Source: 1.xブランチのバージョン1.1.19から1.29.6までが影響を受けます。修正は、NGINX Open Sourceのバージョン1.29.7と1.28.3で提供されています。
他のF5製品(BIG-IP Next、BIG-IQ Centralized Management、F5OS、およびF5 Distributed Cloud Services)はこの特定のMP4モジュールの脆弱性には影響を受けません。
緩和策と対応策
F5に責任ある開示を行ったセキュリティ研究者Xint CodeとPavel Kohout(Aisle Research)は、この脆弱性を発見しました。すぐにソフトウェア更新を適用できない管理者向けには、一時的な対応策が用意されています。
- 信頼できるユーザーのみにオーディオやビデオファイルの公開を制限する
- NGINX設定ファイルでmp4ディレクティブをコメントアウトしてMP4疑似ストリーミングサポートを完全に無効にする
これらの変更を保存した後、管理者はsudo nginx -tコマンドを使用して構文を確認し、サービスを再読み込みすることで更新を安全に適用することができます。