Technical Service Center

보안 권고 설명 NGINX 오픈 소스 및 NGINX Plus에는 인증되지 않은 공격자가 NGINX SMTP 인증 프로세스 메모리를 과도하게 읽을 수 있는 취약점이 ngx_mail_smtp_module에 있습니다. 그 결과 서버 측에서 인증 서버로 요청으로 전송된 임의의 바이트가 유출될 수 있습니다. 이 문제는 NGINX SMTP 인증 프로세스 중에 발생하며 공격자가 유출된 데이터를 추출하기 위해 대상 시스템에 대한 준비를 해야 합니다. 이 문제는 (1) ngx_mail_smtp_module로 빌드되고, (2) smtp_auth 지시문이 "none" 메서드로 구성되고, (3) 인증 서버가 "Auth-Wait" 응답 헤더를 반환하는 경우에만 NGINX에 영향을 미칩니다. (CVE-2025-53859) 영향 이 취약점으로 인해 인증되지 않은 원격 공격자가 NGINX SMTP 인증 프로세스 중에 임의의 바이트 유출을 일으킬 수 있습니다. 컨트롤 플레인 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다. 영향받는 버전 제품 가지 취약한 것으로 알려진 버전1 에 도입된 수정 사항 심각도/CVSS 점수2 취약한 구성 요소 또는 기능 NGINX 플러스 R3x R30 - R34 R35 R34 P2 R33 P3 R32 P3 낮음/3.7 (CVSS v3.1) 중간/6.3 (CVSS v4.0) ngx_mail_smtp_module NGINX 오픈 소스 0.x 1.x 0.7.22 - 1.29.0 1.29.1 낮음/3.7 (CVSS v3.1) 중간/6.3 (CVSS v4.0) ngx_mail_smtp_module NGINX(기타 모든 제품) 모두 없음 해당 없음 취약하지 않음 없음 완화 영향을 받는 제품에 대해 이 취약성을 완화하려면 NGINX 구성의 smtp_auth 지시문에서 none 메서드 사용을 제거하거나 제품 버전을 업데이트할 수 있을 때까지 HTTP 인증 서버에서 Auth-Wait 응답 헤더를 사용하지 마십시오. 이렇게 하려면 다음 절차를 수행합니다. 조치의 영향: 잘못 구성된 인증으로 인해 SMTP 액세스가 차단될 수 있습니다. F5는 유지 관리 기간 동안 변경 내용을 테스트하는 것이 좋습니다. 또한 구성을 여러 파일로 스텁할 수 있습니다. 모든 적절한 구성 섹션을 검토하고 한 번에 하나씩 변경 사항을 테스트해야 합니다. 1. 관리자 권한으로 NGINX 호스트 시스템의 명령줄에 로그인합니다. 2. 디렉토리를 NGINX 구성 디렉토리(일반적으로 /etc/nginx)로 변경합니다. 3. 원하는 텍스트 편집기를 사용하여 smtp_auth 지시문이 포함된 모든 구성 블록을 찾아 none 메서드를 제거합니다. 예를 들어 다음 블록에서 none을 제거합니다. server { listen 25; protocol smtp;   smtp_auth none; } none을 사용자 환경에 적합한 인증 방법으로 바꿉니다. 다음 예제에서는 로그인 일반을 사용합니다. server { listen 25; protocol smtp;   smtp_auth login plain; } 4. 변경 사항을 저장하고 텍스트 편집기를 종료합니다. 5. 다음 명령을 입력하여 구성 변경 사항을 테스트합니다. sudo nginx -t 6. 다음 명령을 입력하여 NGINX 구성을 다시 로드합니다. sudo nginx -s reload 

F5 NGINX Plus 릴리스 35(R35)의 출시를 발표하게 되어 기쁩니다.  NGINX 오픈 소스를 기반으로 하는 NGINX Plus는 유일한 올인원 소프트웨어 웹 서버, 로드 밸런서, 역방향 프록시, 콘텐츠 캐시 및 API 게이트웨이입니다. NGINX Plus R35의 새로운 기능과 향상된 기능은 다음과 같습니다.  ACME 프로토콜 지원: 이 릴리스에서는 NGINX Plus에서 ACME(Automated Certificate Management Environment) 프로토콜에 대한 기본 지원을 도입했습니다. ACME 프로토콜은 SSL 인증서의 발급, 설치, 해지 및 교체를 위해 클라이언트와 인증 기관 간의 직접 통신을 활성화하여 SSL/TLS 인증서 수명 주기 관리를 자동화합니다.  자동 JWT 갱신 및 업데이트: 이 기능은 라이센스 보고를 위해 F5 라이센스 엔드포인트와 직접 통신하는 F5 NGINX 인스턴스에 대한 라이센스 JWT 업데이트 프로세스를 자동화하여 NGINX Plus 갱신 경험을 단순화합니다.   네이티브 OIDC 개선 사항: 이 릴리스에는 네이티브 OpenID 연결 모듈에 대한 추가 개선 사항이 포함되어 있으며, 인증 워크플로우를 간소화하기 위해 RP(신뢰 당사자)가 시작한 로그아웃 및 UserInfo 엔드포인트에 대한 지원이 추가되었습니다.  초기 힌트 지원: NGINX Plus R35는 브라우저가 최종 서버 응답 전에 리소스를 미리 로드할 수 있도록 하여 대기 시간을 줄이고 콘텐츠 표시를 가속화함으로써 웹 사이트 성능을 최적화하는 초기 힌트(HTTP 103)에 대한 지원을 도입합니다.  QUIC – CUBIC 혼잡 제어: R35를 통해 HTTP3/QUIC 구현에서 혼잡 알고리즘에 대한 지원을 확장하여 더 나은 대역폭 활용도를 제공하여 더 빠른 로드 시간과 더 빠른 다운로드를 제공하는 CUBIC도 지원했습니다.   NGINX Javascript QuickJS - 전체 ES2023 지원: 이 NGINX Plus 릴리스에서는 이제 NGINX JavaScript를 사용하는 사용자 지정 NGINX 스크립팅 및 확장성 요구 사항에 대해 QuickJS 런타임에 대한 전체 ES2023 JavaScript 사양을 지원합니다.     플랫폼 지원 변경 사항  NGINX Plus R35는 NGINX Plus 기술 사양에 다음과 같은 업데이트를 도입했습니다. 추가된 플랫폼:  이 릴리스에는 다음 플랫폼에 대한 지원이 추가되었습니다  알파인 리눅스 3.22  RHEL 10  지원 종료 플랫폼:  이 릴리스부터 다음 플랫폼에 대한 지원이 제거되었습니다.  Alpine Linux 3.18 – 2025년 5월 지원 종료  Ubuntu 20.04(LTS) – 2025년 5월 지원 종료  Deprecated 플랫폼:  알파인 리눅스 3.19  참고: SUSE Linux Enterprise Server(SLES) 15의 경우 SP6이 이제 필수 서비스 팩 버전입니다. 이전 서비스 팩은 공급업체에 의해 EOL되었으며 더 이상 지원되지 않습니다.    새로운 기능 세부 정보   ACME 프로토콜 지원  ACME 프로토콜(Automated Certificate Management Environment)은 주로 디지털 보안 인증서(예: TLS/SSL 인증서)의 발급, 검증, 갱신 및 해지 프로세스를 자동화하도록 설계된 통신 프로토콜입니다. 이를 통해 클라이언트는 수동 개입 없이 인증 기관(CA)과 상호 작용할 수 있으므로 HTTPS에 의존하는 보안 웹사이트 및 기타 서비스의 배포가 단순화됩니다.  NGINX Plus R35 릴리스와 함께 NGINX의 기본 ACME 지원 의 프리뷰 릴리스를 발표하게 되어 기쁩니다. ACME 지원은 NGINX 오픈 소스와 NGINX Plus를 사용하는 엔터프라이즈 F5 NGINX One 고객 모두를 위한 Rust 기반 동적 모듈로 제공됩니다.  기본 ACME 지원은 SSL/TLS 인증서를 획득하고 갱신하는 프...

NGINX 버전 구분   제품 분류 : OpenSource / Plus 로 나뉨 OpenSource Mainline / Stable / Legacy 로 나뉨 Plus - 단일 Release 공식 다운로드 URL : http://nginx.org/en/download.html Release 에 대해서는 Slack / Mailing 등으로 Notify 를 받을 수 있다.  Mainline 버전 : 홀수 버전 ( ex : 1.9 / 1.11 ) Minor Release 의 경우 4~6주 주기로 Release 됨 신규 기능 / 업데이트 / 버그픽스들이 추가되는 버전 Stable 보다 빠른 BugFix 제공 Stable 버전 : 짝수 버전 ( ex : 1.10 / 1.12 ) Mainline Branch 에서 분기한 버전 Bug Fix 등등이 포함됨 Legacy 과거의 MalnLine 버전을 의미 NGINX Plus MainLine 에서 Fort 되어 나온 상용 버전 Release 전 테스트 등등을 통과한 안정적인 버전 OpenSource 에 없는 부가적인 기능을 Add-on 하여 Release

F5 링크 : https://my.f5.com/manage/s/article/K000151008     보안 권고 설명 2025년 5월 7일, F5는 다음과 같은 보안 문제를 발표했습니다. 이 문서는 F5 기기에 미치는 영향을 파악하는 데 도움이 되는 이러한 취약점에 대한 개요를 제공하기 위한 것입니다. 관련 기사에서 각 호에 대한 세부 사항을 확인할 수 있습니다.  HIGH CVEs Article (CVE) CVSS 점수 영향을 받은 제품 영향을 받은 버전 해결된 버전 K000139503: F5OS 취약점 CVE-2025-46265 8.8 (CVSS v3.1) 8.7 (CVSS v4.0) F5OS-A 1.5.1 1.8.0 1.5.2 F5OS-C 1.6.0 - 1.6.2 1.8.0 K000148591: Applicance mode BIG-IP iControl REST 및 tmsh 취약점 CVE-2025-31644 8.7 (CVSS v3.1) 8.5 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.2 16.1.0 - 16.1.5 15.1.0 - 15.1.10 17.1.2.2 16.1.6 15.1.10.7 K000140574: F5OS Applicance mode 취약성 CVE-2025-36546 8.1 (CVSS v3.1) 9.2 (CVSS v4.0) F5OS-A 1.5.1 -1.5.2 1.8.0 1.5.3 F5OS-C 1.6.0 - 1.6.2 1.8.0 K000137709: SCTP vulnerability CVE-2025-41399   7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 16.1.0 - 16.1.3 15.1.0 - 15.1.8 17.1.1 16.1.4 15.1.9 BIG-IP NEXT (모든 모듈) 20.2.0 20.2.1 BIG-IP NEXT SPK 1.8.0 - 1.9.2 1.7.0 - 1.7.11 2.0.0 1.7.12 BIG-IP NEXT CNF 1.1.0 - 1.2.1 1.3.0 K000139571: BIG-IP HTTP 취약점 CVE-2025-36557 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.1 16.1.0 - 16.1.4 17.1.2 16.1.5 BIG-IP NEXT SPK 1.8.0 - 1.9.2 1.7.0 - 1.7.8 2.0.0 1.7.9 BIG-IP NEXT CNF 1.1.0 - 1.3.3 2.0.0 1.4.0 K000140919: BIG-IP HTTP/2 취약점  CVE-2025-36504 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.1 16.1.0 - 16.1.5 17.1.2 16.1.6 BIG-IP NEXT (모든 모듈) 20.2.0 - 20.2.1 20.3.0 BIG-IP NEXT SPK 1.7.0 - 1.9.2 2.0.0 BIG-IP NEXT CNF 1.1.0 - 1.4.1 2.0.0 K000140937: BIG-IP SIP ALG Profile 취약점 CVE-2025-41433 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.1 16.1.0 - 16.1.4 15.1.0 - 15.1.10 17.1.2 16.1.5 K000140968: BIG-IP HTTP/2 취약점 CVE-2025-41414 7.5 (CVSS v3.1) 8.7 (CVSS v4.0) BIG-IP (모든 모듈) 17.1.0 - 17.1.1 16.1.0 - 16.1.4 15.1.0 - 15.1.10 17.1.2 16.1.5 BIG-IP...

각 F5 NGINX Plus 릴리스는 다음 버전의 릴리스 날짜에 EoSD(End of Software Development)에 도달합니다.  NGINX Plus의 경우 EoSD는 해당 버전에 추가 기능이나 일상적인 버그 수정이 적용되지 않음을 의미합니다.  중요한 버그 패치 및 보안 업데이트는 NGINX Plus의 최신 릴리스 2개에 적용됩니다. 최신 기능, 보안 업데이트 및 중요한 패치를 사용할 수 있도록 프로덕션에서 최신 버전의 NGINX Plus를 실행하는 것이 좋습니다. NGINX Plus 릴리스출시일소프트웨어 개발의 끝보안 업데이트 종료기술 지원 종료 R34 2025년 4월 1일 R35 출시일 R36 출시일 2027년 3월 31일 R33 2024년 11월 19일 2025년 4월 1일 R35 출시일 2026년 11월 18일 R32 2024년 5월 29일 2024년 11월 19일 2025년 4월 1일 2026년 5월 28일 R31 2023년 12월 19일 2024년 5월 29일 2024년 11월 18일 2025년 12월 18일 R30 2023년 8월 15일 2023년 12월 19일 2024년 5월 28일 2025년 8월 14일 R29 2023년 5월 2일 2023년 8월 15일 2023년 12월 18일 2025년 5월 1일

F5 NGINX Plus 릴리스 34(R34)의 출시를 발표하게 되어 기쁩니다. NGINX 오픈 소스를 기반으로 하는 NGINX Plus는 유일한 올인원 소프트웨어 웹 서버, 로드 밸런서, 역방향 프록시, 콘텐츠 캐시 및 API 게이트웨이입니다. NGINX Plus R34의 새롭고 향상된 기능은 다음과 같습니다. NGINX 사용 보고에 대한 정방향 프록시 지원: R34를 사용하면 NGINX Plus를 통해 NGINX 고객이 해당 환경의 기존 엔터프라이즈 정방향 프록시를 통해 F5로 라이선스 사용 원격 분석을 보낼 수 있습니다. OpenID Connect 구성에 대한 기본 지원: 이 릴리스에서는 NGINX Plus에서 기본 OIDC(OpenID Connect) 모듈을 사용할 수 있음을 발표하고자 합니다. 기본 모듈은 단순화된 구성과 더 나은 성능을 제공하는 동시에 기존 njs 기반 솔루션의 많은 복잡성을 해결합니다.  SSL 동적 인증서 캐싱: NGINX Plus R34는 R32의 향상된 인증서 캐싱을 기반으로 하며 동적 인증서 캐싱 및 구성 다시 로드 시 이 캐시 보존을 지원합니다.   동작의 중요한 변경 사항 OpenTracing 모듈 제거: NGINX Plus R32에서는 NGINX Plus R29에 도입된 OpenTelemetry 모듈을 위해 OpenTracing 모듈의 사용 중단을 발표했습니다. , NGINX Plus R34에서 제거되도록 표시되었습니다. OpenTracing은 이번 릴리스부터 NGINX Plus에서 제거됩니다.   플랫폼 지원 변경 사항 추가된 플랫폼: 알파인 리눅스 3.21 제거된 플랫폼: 알파인 리눅스 3.17 SLES12 더 이상 사용되지 않는 플랫폼: 알파인 리눅스 3.18 우분투 20.04   새로운 기능 세부 정보  NGINX 사용량 보고에 대한 정방향 프록시 지원  이전 NGINX Plus 릴리스(NGINX Plus R33)에서는 모든 NGINX 고객이 상용 NGINX 사용량을 F5에 보고하도록 요구하는 NGINX Plus 라이선스에 대한 주요 변경 사항을 도입했습니다. 이 기능에 대해 받은 주요 피드백 중 하나는 주로 NGINX 인스턴스가 F5 라이선스 엔드포인트에 직접 연결할 수 없는 환경에서 기존 아웃바운드 프록시를 통해 원격 분석을 보낼 수 있도록 NGINX 인스턴스를 활성화해야 한다는 것이었습니다.   NGINX Plus R34는 F5에 라이선스 텔레메트리를 보내기 위해 고객 환경에서 기존 정방향 프록시 솔루션을 사용할 수 있는 지원을 도입하게 되어 기쁩니다. 이 업데이트를 통해 이제 HTTP CONNECT 프록시를 사용하여 F5 라이선싱 엔드포인트에 대한 터널을 설정하여 사용 원격 분석을 보내도록 NGINX Plus를 구성할 수 있습니다. 구성 다음 스니펫은 정방향 프록시 솔루션을 통해 NGINX 사용 텔레메트리를 전송하기 위해 ngx_mgmt_module 모듈에 필요한 기본 NGINX 구성을 보여줍니다. mgmt { proxy HOST:PORT; proxy_username USER; #optional proxy_password PASS; #optional }     OpenID Connect 구성에 대한 기본 지원 현재 NGINX Plus는 오류가 발생하기 쉬운 복잡한 JavaScript 파일과 고급 설정 단계를 포함하는 OIDC(OpenID Connect) 구현을 위한 njs 기반 솔루션에 의존합니다. NGINX Plus R34를 통해 NGINX Plus에 기본 OIDC 지원을 도입하게 되어 기쁩니다. 이 기본 구현은 njs 기반 접근 방식의 많은 복잡성을 제거하여 njs 모듈을 유지 관리하고 업그레이드하는 데 부담이 되지 않는 부담 없이 더 빠르고 효율적이며 매우 쉽게 구성할 수 있습니다.  이를 위해 NGINX Plus R34에는 인증 코드 흐름을 사용하여 OIDC에서 신뢰 당사자로 인증을 구현하는 새로운 모듈 ngx_http_oidc_module 도입되었습니다...