Technical Service Center

보안 권고 설명 NGINX 오픈 소스 및 NGINX Plus에는 인증되지 않은 공격자가 NGINX SMTP 인증 프로세스 메모리를 과도하게 읽을 수 있는 취약점이 ngx_mail_smtp_module에 있습니다. 그 결과 서버 측에서 인증 서버로 요청으로 전송된 임의의 바이트가 유출될 수 있습니다. 이 문제는 NGINX SMTP 인증 프로세스 중에 발생하며 공격자가 유출된 데이터를 추출하기 위해 대상 시스템에 대한 준비를 해야 합니다. 이 문제는 (1) ngx_mail_smtp_module로 빌드되고, (2) smtp_auth 지시문이 "none" 메서드로 구성되고, (3) 인증 서버가 "Auth-Wait" 응답 헤더를 반환하는 경우에만 NGINX에 영향을 미칩니다. (CVE-2025-53859) 영향 이 취약점으로 인해 인증되지 않은 원격 공격자가 NGINX SMTP 인증 프로세스 중에 임의의 바이트 유출을 일으킬 수 있습니다. 컨트롤 플레인 노출은 없습니다. 이는 데이터 플레인 문제일 뿐입니다. 영향받는 버전 제품 가지 취약한 것으로 알려진 버전1 에 도입된 수정 사항 심각도/CVSS 점수2 취약한 구성 요소 또는 기능 NGINX 플러스 R3x R30 - R34 R35 R34 P2 R33 P3 R32 P3 낮음/3.7 (CVSS v3.1) 중간/6.3 (CVSS v4.0) ngx_mail_smtp_module NGINX 오픈 소스 0.x 1.x 0.7.22 - 1.29.0 1.29.1 낮음/3.7 (CVSS v3.1) 중간/6.3 (CVSS v4.0) ngx_mail_smtp_module NGINX(기타 모든 제품) 모두 없음 해당 없음 취약하지 않음 없음 완화 영향을 받는 제품에 대해 이 취약성을 완화하려면 NGINX 구성의 smtp_auth 지시문에서 none 메서드 사용을 제거하거나 제품 버전을 업데이트할 수 있을 때까지 HTTP 인증 서버에서 Auth-Wait 응답 헤더를 사용하지 마십시오. 이렇게 하려면 다음 절차를 수행합니다. 조치의 영향: 잘못 구성된 인증으로 인해 SMTP 액세스가 차단될 수 있습니다. F5는 유지 관리 기간 동안 변경 내용을 테스트하는 것이 좋습니다. 또한 구성을 여러 파일로 스텁할 수 있습니다. 모든 적절한 구성 섹션을 검토하고 한 번에 하나씩 변경 사항을 테스트해야 합니다. 1. 관리자 권한으로 NGINX 호스트 시스템의 명령줄에 로그인합니다. 2. 디렉토리를 NGINX 구성 디렉토리(일반적으로 /etc/nginx)로 변경합니다. 3. 원하는 텍스트 편집기를 사용하여 smtp_auth 지시문이 포함된 모든 구성 블록을 찾아 none 메서드를 제거합니다. 예를 들어 다음 블록에서 none을 제거합니다. server { listen 25; protocol smtp;   smtp_auth none; } none을 사용자 환경에 적합한 인증 방법으로 바꿉니다. 다음 예제에서는 로그인 일반을 사용합니다. server { listen 25; protocol smtp;   smtp_auth login plain; } 4. 변경 사항을 저장하고 텍스트 편집기를 종료합니다. 5. 다음 명령을 입력하여 구성 변경 사항을 테스트합니다. sudo nginx -t 6. 다음 명령을 입력하여 NGINX 구성을 다시 로드합니다. sudo nginx -s reload 

F5 NGINX Plus 릴리스 35(R35)의 출시를 발표하게 되어 기쁩니다.  NGINX 오픈 소스를 기반으로 하는 NGINX Plus는 유일한 올인원 소프트웨어 웹 서버, 로드 밸런서, 역방향 프록시, 콘텐츠 캐시 및 API 게이트웨이입니다. NGINX Plus R35의 새로운 기능과 향상된 기능은 다음과 같습니다.  ACME 프로토콜 지원: 이 릴리스에서는 NGINX Plus에서 ACME(Automated Certificate Management Environment) 프로토콜에 대한 기본 지원을 도입했습니다. ACME 프로토콜은 SSL 인증서의 발급, 설치, 해지 및 교체를 위해 클라이언트와 인증 기관 간의 직접 통신을 활성화하여 SSL/TLS 인증서 수명 주기 관리를 자동화합니다.  자동 JWT 갱신 및 업데이트: 이 기능은 라이센스 보고를 위해 F5 라이센스 엔드포인트와 직접 통신하는 F5 NGINX 인스턴스에 대한 라이센스 JWT 업데이트 프로세스를 자동화하여 NGINX Plus 갱신 경험을 단순화합니다.   네이티브 OIDC 개선 사항: 이 릴리스에는 네이티브 OpenID 연결 모듈에 대한 추가 개선 사항이 포함되어 있으며, 인증 워크플로우를 간소화하기 위해 RP(신뢰 당사자)가 시작한 로그아웃 및 UserInfo 엔드포인트에 대한 지원이 추가되었습니다.  초기 힌트 지원: NGINX Plus R35는 브라우저가 최종 서버 응답 전에 리소스를 미리 로드할 수 있도록 하여 대기 시간을 줄이고 콘텐츠 표시를 가속화함으로써 웹 사이트 성능을 최적화하는 초기 힌트(HTTP 103)에 대한 지원을 도입합니다.  QUIC – CUBIC 혼잡 제어: R35를 통해 HTTP3/QUIC 구현에서 혼잡 알고리즘에 대한 지원을 확장하여 더 나은 대역폭 활용도를 제공하여 더 빠른 로드 시간과 더 빠른 다운로드를 제공하는 CUBIC도 지원했습니다.   NGINX Javascript QuickJS - 전체 ES2023 지원: 이 NGINX Plus 릴리스에서는 이제 NGINX JavaScript를 사용하는 사용자 지정 NGINX 스크립팅 및 확장성 요구 사항에 대해 QuickJS 런타임에 대한 전체 ES2023 JavaScript 사양을 지원합니다.     플랫폼 지원 변경 사항  NGINX Plus R35는 NGINX Plus 기술 사양에 다음과 같은 업데이트를 도입했습니다. 추가된 플랫폼:  이 릴리스에는 다음 플랫폼에 대한 지원이 추가되었습니다  알파인 리눅스 3.22  RHEL 10  지원 종료 플랫폼:  이 릴리스부터 다음 플랫폼에 대한 지원이 제거되었습니다.  Alpine Linux 3.18 – 2025년 5월 지원 종료  Ubuntu 20.04(LTS) – 2025년 5월 지원 종료  Deprecated 플랫폼:  알파인 리눅스 3.19  참고: SUSE Linux Enterprise Server(SLES) 15의 경우 SP6이 이제 필수 서비스 팩 버전입니다. 이전 서비스 팩은 공급업체에 의해 EOL되었으며 더 이상 지원되지 않습니다.    새로운 기능 세부 정보   ACME 프로토콜 지원  ACME 프로토콜(Automated Certificate Management Environment)은 주로 디지털 보안 인증서(예: TLS/SSL 인증서)의 발급, 검증, 갱신 및 해지 프로세스를 자동화하도록 설계된 통신 프로토콜입니다. 이를 통해 클라이언트는 수동 개입 없이 인증 기관(CA)과 상호 작용할 수 있으므로 HTTPS에 의존하는 보안 웹사이트 및 기타 서비스의 배포가 단순화됩니다.  NGINX Plus R35 릴리스와 함께 NGINX의 기본 ACME 지원 의 프리뷰 릴리스를 발표하게 되어 기쁩니다. ACME 지원은 NGINX 오픈 소스와 NGINX Plus를 사용하는 엔터프라이즈 F5 NGINX One 고객 모두를 위한 Rust 기반 동적 모듈로 제공됩니다.  기본 ACME 지원은 SSL/TLS 인증서를 획득하고 갱신하는 프...

첨부 파일을 참고 하세요

첨부 파일은 참고 하세요

첨부파일을 참고하세요.