Technical Service Center

Kubernetes 커뮤니티가 Ingress NGINX(커뮤니티 오픈소스 버전)의 공식 지원 종료(EOL)를 2026년 3월로 발표했습니다. 이는 NGINX 제품 자체 종료가 아닌, 커뮤니티 기반 Ingress NGINX 프로젝트만 중단되는 사항입니다.   [기술 배경] • 서비스 구조는 비슷하지만, Ingress는 개발 주체에 따라 두 가지로 구분   - Kubernetes 커뮤니티에서 개발한 Ingress NGINX (지원 종료 예정)   - F5/NGINX 에서 개발한 NGINX Ingress Controller   [핵심 요약] • Kubernetes 커뮤니티에서 개발한 Ingress NGINX 에 대해 2026년 3월 이후 신규 릴리스·버그 수정·보안 패치 중단 • 기존 환경은 동작하나, CVE 발생 시 대응 불가 → 보안·운영 리스크 증가 • NGINX Plus / NGINX Ingress Controller 등 상용 제품은 영향 없음 • 금융·공공 등 규제 환경에서는 EOL OSS 사용 자체가 감사 리스크 • Key Point : 안정적 운영을 위해 상용 NGINX Ingress Controller 전환 권고 [참고 문서] •쿠버네티스 공식 문서 : https://kubernetes.io/blog/2025/11/11/ingress-nginx-retirement •F5 NGINX Blogs : https://blog.nginx.org/blog/the-ingress-nginx-alternative-open-source-nginx-ingress-controller-for-the-long-term

보안 사고 관련 상세 내용 링크 : https://my.f5.com/manage/s/article/K000154696 패치 관련 상세 내용 링크 : https://my.f5.com/manage/s/article/K000156572 F5 Proactive Disclosure Message 내용 : 첨부파일 참조     보안 권고 설명 위협 행위자가 F5 BIG-IP 제품 개발 환경 및 엔지니어링 지식 관리 플랫폼에서 파일을 유출한 사실이 확인되었습니다. l   파일에는 BIG-IP 소스 코드 중 일부와, F5가 BIG-IP에서 작업 중이었던 비공개 취약점에 대한 정보가 포함 되어 있습니다 공개되지 않은 중요 또는 원격 코드 취약성에 대한 정보는 확인된 바 없으며, F5의 공개되지 않은 취약성이 적극적으로 악용되고 있다는 사실도 확인되지 않았습니다. l   보안사고와 관련된 어떠한 취약한 공격이나 시도는 이후에 없었습니다. CrowdStrike, Mandiant 및 기타 주요 사이버 보안 전문가의 참여하에 해당 작업을 진행 했으며, 법 집행 기관 및 정부 파트너와도 적극적으로 협력하고 있습니다. 3)의 내용을 토대로 외부 기관들과 연계하여 내부 소스코드 보안을 검사를 진행했으며 내부적으로 추가적으로 검사된 취약한 코드들이 발견된 건 선재적으로 긴급 패치를 완료 최대한 빠른 시일 내에 새 릴리스로 업데이트하실 것을 강력히 권장합니다. (F5 OS 1.8.3 / TMOS 17.5.1.3 ,17.1.3 , 16.1.6.1 , 15.1.10.8) H/W EoSD (Standard 모델 : 2000s, 4000s, 5000s등) 가 지난 장비에 대해서는 지원이 불가함을 양해바랍니다.  권고 Version은 상기 취약점에 대한 패치가 포함되어 있으며 해당 취약점외에 하기 CVE취약점에 대해서도 패치가 완료되었습니다.   l BIG-IP(All Modules) 취약점: 11건 l BIG-IP F5 OS : 취약점 2건 l BIG-IP AWAF 취약점 : 4건 l BIG-IP APM 취약점 : 4건 l BIG-IP SSLO 취약점 : 2건 l BIG-IP PEM 취약점 : 1건 l BIG-IP AFM 취약점 : 1   High CVEs List Article (CVE) CVSS score1 Affected products Affected versions2 Fixes introduced in K000151902: BIG-IP SCP 및 SFTP 취약점 CVE-2025-53868 8.7 (CVSS v3.1) 8.5 (CVSS v4.0) BIG-IP (all modules) 17.5.0 17.1.0 - 17.1.2 16.1.0 - 16.1.6 15.1.0 - 15.1.10 17.5.1 17.1.3 16.1.6.1 15.1.10.8 K000156767: F5OS 취약점 CVE-2025-61955 7.8 (standard mode) (CVSS v3.1) 8.8 (appliance mode) (CVSS v3.1) 8.5 (standard and appliance mode) (CVSS v4.0) F5OS-A 1.8.03 1.5.1 - 1.5.3 1.8.3 1.5.4 F5OS-C 1.8.0 - 1.8.1 1.6.0 - 1.6.23 1.8.2 1.6.4 K000156771: F5OS 취약점 CVE-2025-57780 7.8 (standard mode) (CVSS v3.1) 8.8 (appliance mode) (CVSS v3.1) 8.5 (standard and appliance mode) (CVSS v4.0) F5OS-A 1.8.03 1.5.1 - 1.5.3 1.8.3 1.5.4 F5OS-C 1.8.0 - 1.8.1 1.6.0 - 1.6.23 1.8.2 1.6.4 K000139514: BIG-IP SSL/TLS 취약점 CVE-2025-60016 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP...

보안 권고 설명 NGINX 오픈 소스 및 NGINX Plus에는 인증되지 않은 공격자가 NGINX SMTP 인증 프로세스 메모리를 과도하게 읽을 수 있는 취약점이 ngx_mail_smtp_module에 있습니다. 그 결과 서버 측에서 인증 서버로 요청으로 전송된 임의의 바이트가 유출될 수 있습니다. 이 문제는 NGINX SMTP 인증 프로세스 중에 발생하며 공격자가 유출된 데이터를 추출하기 위해 대상 시스템에 대한 준비를 해야 합니다. 이 문제는 (1) ngx_mail_smtp_module로 빌드되고, (2) smtp_auth 지시문이 "none" 메서드로 구성되고, (3) 인증 서버가 "Auth-Wait" 응답 헤더를 반환하는 경우에만 NGINX에 영향을 미칩니다. (CVE-2025-53859) 영향 이 취약점으로 인해 인증되지 않은 원격 공격자가 NGINX SMTP 인증 프로세스 중에 임의의 바이트 유출을 일으킬 수 있습니다. 컨트롤 플레인 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다. 영향받는 버전 제품 가지 취약한 것으로 알려진 버전1 에 도입된 수정 사항 심각도/CVSS 점수2 취약한 구성 요소 또는 기능 NGINX 플러스 R3x R30 - R34 R35 R34 P2 R33 P3 R32 P3 낮음/3.7 (CVSS v3.1) 중간/6.3 (CVSS v4.0) ngx_mail_smtp_module NGINX 오픈 소스 0.x 1.x 0.7.22 - 1.29.0 1.29.1 낮음/3.7 (CVSS v3.1) 중간/6.3 (CVSS v4.0) ngx_mail_smtp_module NGINX(기타 모든 제품) 모두 없음 해당 없음 취약하지 않음 없음 완화 영향을 받는 제품에 대해 이 취약성을 완화하려면 NGINX 구성의 smtp_auth 지시문에서 none 메서드 사용을 제거하거나 제품 버전을 업데이트할 수 있을 때까지 HTTP 인증 서버에서 Auth-Wait 응답 헤더를 사용하지 마십시오. 이렇게 하려면 다음 절차를 수행합니다. 조치의 영향: 잘못 구성된 인증으로 인해 SMTP 액세스가 차단될 수 있습니다. F5는 유지 관리 기간 동안 변경 내용을 테스트하는 것이 좋습니다. 또한 구성을 여러 파일로 스텁할 수 있습니다. 모든 적절한 구성 섹션을 검토하고 한 번에 하나씩 변경 사항을 테스트해야 합니다. 1. 관리자 권한으로 NGINX 호스트 시스템의 명령줄에 로그인합니다. 2. 디렉토리를 NGINX 구성 디렉토리(일반적으로 /etc/nginx)로 변경합니다. 3. 원하는 텍스트 편집기를 사용하여 smtp_auth 지시문이 포함된 모든 구성 블록을 찾아 none 메서드를 제거합니다. 예를 들어 다음 블록에서 none을 제거합니다. server { listen 25; protocol smtp;   smtp_auth none; } none을 사용자 환경에 적합한 인증 방법으로 바꿉니다. 다음 예제에서는 로그인 일반을 사용합니다. server { listen 25; protocol smtp;   smtp_auth login plain; } 4. 변경 사항을 저장하고 텍스트 편집기를 종료합니다. 5. 다음 명령을 입력하여 구성 변경 사항을 테스트합니다. sudo nginx -t 6. 다음 명령을 입력하여 NGINX 구성을 다시 로드합니다. sudo nginx -s reload 

F5 NGINX Plus 릴리스 35(R35)의 출시를 발표하게 되어 기쁩니다.  NGINX 오픈 소스를 기반으로 하는 NGINX Plus는 유일한 올인원 소프트웨어 웹 서버, 로드 밸런서, 역방향 프록시, 콘텐츠 캐시 및 API 게이트웨이입니다. NGINX Plus R35의 새로운 기능과 향상된 기능은 다음과 같습니다.  ACME 프로토콜 지원: 이 릴리스에서는 NGINX Plus에서 ACME(Automated Certificate Management Environment) 프로토콜에 대한 기본 지원을 도입했습니다. ACME 프로토콜은 SSL 인증서의 발급, 설치, 해지 및 교체를 위해 클라이언트와 인증 기관 간의 직접 통신을 활성화하여 SSL/TLS 인증서 수명 주기 관리를 자동화합니다.  자동 JWT 갱신 및 업데이트: 이 기능은 라이센스 보고를 위해 F5 라이센스 엔드포인트와 직접 통신하는 F5 NGINX 인스턴스에 대한 라이센스 JWT 업데이트 프로세스를 자동화하여 NGINX Plus 갱신 경험을 단순화합니다.   네이티브 OIDC 개선 사항: 이 릴리스에는 네이티브 OpenID 연결 모듈에 대한 추가 개선 사항이 포함되어 있으며, 인증 워크플로우를 간소화하기 위해 RP(신뢰 당사자)가 시작한 로그아웃 및 UserInfo 엔드포인트에 대한 지원이 추가되었습니다.  초기 힌트 지원: NGINX Plus R35는 브라우저가 최종 서버 응답 전에 리소스를 미리 로드할 수 있도록 하여 대기 시간을 줄이고 콘텐츠 표시를 가속화함으로써 웹 사이트 성능을 최적화하는 초기 힌트(HTTP 103)에 대한 지원을 도입합니다.  QUIC – CUBIC 혼잡 제어: R35를 통해 HTTP3/QUIC 구현에서 혼잡 알고리즘에 대한 지원을 확장하여 더 나은 대역폭 활용도를 제공하여 더 빠른 로드 시간과 더 빠른 다운로드를 제공하는 CUBIC도 지원했습니다.   NGINX Javascript QuickJS - 전체 ES2023 지원: 이 NGINX Plus 릴리스에서는 이제 NGINX JavaScript를 사용하는 사용자 지정 NGINX 스크립팅 및 확장성 요구 사항에 대해 QuickJS 런타임에 대한 전체 ES2023 JavaScript 사양을 지원합니다.     플랫폼 지원 변경 사항  NGINX Plus R35는 NGINX Plus 기술 사양에 다음과 같은 업데이트를 도입했습니다. 추가된 플랫폼:  이 릴리스에는 다음 플랫폼에 대한 지원이 추가되었습니다  알파인 리눅스 3.22  RHEL 10  지원 종료 플랫폼:  이 릴리스부터 다음 플랫폼에 대한 지원이 제거되었습니다.  Alpine Linux 3.18 – 2025년 5월 지원 종료  Ubuntu 20.04(LTS) – 2025년 5월 지원 종료  Deprecated 플랫폼:  알파인 리눅스 3.19  참고: SUSE Linux Enterprise Server(SLES) 15의 경우 SP6이 이제 필수 서비스 팩 버전입니다. 이전 서비스 팩은 공급업체에 의해 EOL되었으며 더 이상 지원되지 않습니다.    새로운 기능 세부 정보   ACME 프로토콜 지원  ACME 프로토콜(Automated Certificate Management Environment)은 주로 디지털 보안 인증서(예: TLS/SSL 인증서)의 발급, 검증, 갱신 및 해지 프로세스를 자동화하도록 설계된 통신 프로토콜입니다. 이를 통해 클라이언트는 수동 개입 없이 인증 기관(CA)과 상호 작용할 수 있으므로 HTTPS에 의존하는 보안 웹사이트 및 기타 서비스의 배포가 단순화됩니다.  NGINX Plus R35 릴리스와 함께 NGINX의 기본 ACME 지원 의 프리뷰 릴리스를 발표하게 되어 기쁩니다. ACME 지원은 NGINX 오픈 소스와 NGINX Plus를 사용하는 엔터프라이즈 F5 NGINX One 고객 모두를 위한 Rust 기반 동적 모듈로 제공됩니다.  기본 ACME 지원은 SSL/TLS 인증서를 획득하고 갱신하는 프...

NGINX 버전 구분   제품 분류 : OpenSource / Plus 로 나뉨 OpenSource Mainline / Stable / Legacy 로 나뉨 Plus - 단일 Release 공식 다운로드 URL : http://nginx.org/en/download.html Release 에 대해서는 Slack / Mailing 등으로 Notify 를 받을 수 있다.  Mainline 버전 : 홀수 버전 ( ex : 1.9 / 1.11 ) Minor Release 의 경우 4~6주 주기로 Release 됨 신규 기능 / 업데이트 / 버그픽스들이 추가되는 버전 Stable 보다 빠른 BugFix 제공 Stable 버전 : 짝수 버전 ( ex : 1.10 / 1.12 ) Mainline Branch 에서 분기한 버전 Bug Fix 등등이 포함됨 Legacy 과거의 MalnLine 버전을 의미 NGINX Plus MainLine 에서 Fort 되어 나온 상용 버전 Release 전 테스트 등등을 통과한 안정적인 버전 OpenSource 에 없는 부가적인 기능을 Add-on 하여 Release

F5 링크 : https://my.f5.com/manage/s/article/K000151008     보안 권고 설명 2025년 5월 7일, F5는 다음과 같은 보안 문제를 발표했습니다. 이 문서는 F5 기기에 미치는 영향을 파악하는 데 도움이 되는 이러한 취약점에 대한 개요를 제공하기 위한 것입니다. 관련 기사에서 각 호에 대한 세부 사항을 확인할 수 있습니다.  HIGH CVEs Article (CVE) CVSS 점수 영향을 받은 제품 영향을 받은 버전 해결된 버전 K000139503: F5OS 취약점 CVE-2025-46265 8.8 (CVSS v3.1) 8.7 (CVSS v4.0) F5OS-A 1.5.1 1.8.0 1.5.2 F5OS-C 1.6.0 - 1.6.2 1.8.0 K000148591: Applicance mode BIG-IP iControl REST 및 tmsh 취약점 CVE-2025-31644 8.7 (CVSS v3.1) 8.5 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.2 16.1.0 - 16.1.5 15.1.0 - 15.1.10 17.1.2.2 16.1.6 15.1.10.7 K000140574: F5OS Applicance mode 취약성 CVE-2025-36546 8.1 (CVSS v3.1) 9.2 (CVSS v4.0) F5OS-A 1.5.1 -1.5.2 1.8.0 1.5.3 F5OS-C 1.6.0 - 1.6.2 1.8.0 K000137709: SCTP vulnerability CVE-2025-41399   7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 16.1.0 - 16.1.3 15.1.0 - 15.1.8 17.1.1 16.1.4 15.1.9 BIG-IP NEXT (모든 모듈) 20.2.0 20.2.1 BIG-IP NEXT SPK 1.8.0 - 1.9.2 1.7.0 - 1.7.11 2.0.0 1.7.12 BIG-IP NEXT CNF 1.1.0 - 1.2.1 1.3.0 K000139571: BIG-IP HTTP 취약점 CVE-2025-36557 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.1 16.1.0 - 16.1.4 17.1.2 16.1.5 BIG-IP NEXT SPK 1.8.0 - 1.9.2 1.7.0 - 1.7.8 2.0.0 1.7.9 BIG-IP NEXT CNF 1.1.0 - 1.3.3 2.0.0 1.4.0 K000140919: BIG-IP HTTP/2 취약점  CVE-2025-36504 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.1 16.1.0 - 16.1.5 17.1.2 16.1.6 BIG-IP NEXT (모든 모듈) 20.2.0 - 20.2.1 20.3.0 BIG-IP NEXT SPK 1.7.0 - 1.9.2 2.0.0 BIG-IP NEXT CNF 1.1.0 - 1.4.1 2.0.0 K000140937: BIG-IP SIP ALG Profile 취약점 CVE-2025-41433 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.1 16.1.0 - 16.1.4 15.1.0 - 15.1.10 17.1.2 16.1.5 K000140968: BIG-IP HTTP/2 취약점 CVE-2025-41414 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.1 16.1.0 - 16.1.4 15.1.0 - 15.1.10 17.1.2 16.1.5 BIG-IP...