nginx の 20 周年 を祝います! nginx の進歩と節目に付いては、 最新のブログ でご確認ください。

セキュリティ

nginx のセキュリティ問題は、すべて F5SIRT@f5.com までご連絡いただくか、こちら に記載されている方法のいずれかで報告してください。

パッチは、PGP 公開キー のいずれかを使用して署名されています。

特別な考慮事項

njs は動的コード、特にネットワークから受信したコードをいかなる方法でも評価しません。njs を使用してそのコードを評価する唯一の方法は、nginx で js_import ディレクティブを設定することです。JavaScript コードは、nginx の起動時に 1 回ロードされます。

nginx/njs の脅威モデルでは、JavaScript コードは nginx.conf やサイト証明書と同じ信頼できるソースとみなされます。実際には、これは次のことを意味します。

• JavaScript コードの変更によって引き起こされるメモリ情報漏えいやその他のセキュリティ問題は、セキュリティ上の問題ではなく通常のバグとみなされます。
• njs が使用する JavaScript コードを保護するための対策を講じる必要があります。
• nginx.conf に js_import ディレクティブがない場合、nginx は JavaScript 関連の脆弱性から保護されます。