【2025年1月版】Nginxのバージョン情報とサポート期限

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は、Nginx（エンジンエックス）のバージョン情報とサポート期限についてまとめたもので、2025年1月23日に改訂しています。

NginxとはF5, Inc.が開発やサポートを継続しているオープンソースのWebサーバーソフトウェアの一つであり、W3Techs - World Wide Web Technology Surveysによれば、現時点で世界ナンバー１のシェアを有しています。

Webサーバーソフトウェアの分野では、Apacheがこれまで長年1位を維持していましたが、2021年ごろにNginxがApacheを抜いてシェア1位となりました。
それ以降もNginxのシェアは増加傾向にあり、現在ではApacheが27％であるのに対しNginxは33.9％と、6ポイント以上上回っている状況です。

安全で円滑なWebサイトの運用のためには、Nginxも最新バージョンへのアップデートが欠かせません。
一方で、不用意なアップデートによってWebサイトが表示されないといった不具合が起こる可能性もあります。

この記事ではNginxのバージョン情報とサポート期限についてまとめた上で、Nginxの脆弱性についてもご紹介したいと思います。

少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。

・Nginxのバージョン情報に関するポイント
・Nginxのリリース日とサポート期限
・Nginx安定版の脆弱性情報
・Nginxのバージョンアップで想定されるトラブルと回避方法
・Nginxのバージョンアップを継続する体制について

Nginxのバージョン情報に関するポイント

Nginx（エンジンエックス）は、通常のセマンティックバージョニングに近いバージョニングを採用しており、メジャーバージョン、マイナーバージョン、パッチバージョンで構成される3桁の数字で表されます。

しかしながら、Nginxのバージョンには、安定版（Stable：主に不具合の修正とセキュリティアップデートが行われるバージョン、マイナーバージョンが偶数）と開発版（Mainline：新機能が頻繁に追加されるバージョン、マイナーバージョンが奇数）の2種類があることから、厳密なセマンティックバージョニングではなく、独自のバージョニングであると考えられます。

Mainlineという言葉の通り、Nginx公式は開発版の使用を推奨していますが、企業で使用されるのは信頼性の高い安定板であるため、本記事でのNginxのバージョンは安定版のバージョンを指すものとします。

2025年1月現在、Nginx安定版の最新バージョンは1.26系統であり、公式がセキュリティサポートをしているバージョンも1.26系統のみです。

Nginxのバージョンが1.26.1以下の場合には、重要レベルの脆弱性が存在する可能性があります。

Nginxのリリース日とサポート期限

Nginxの公式サポートは、アクティブサポートおよびセキュリティサポートの期間を厳密には区別しておらず、基本的にはリリース日から1年間で次の安定版がリリースされ、当該バージョンのサポートは終了します。

Nginx安定版の各バージョンについてのリリース日とサポート期限は次の通りです。

Nginxのバージョン	リリース日	サポート期限
1.26.x	2024年4月23日	2025年4月頃（予測）
1.24.x	2023年4月11日	2024年4月23日
1.22.x	2022年5月24日	2023年4月11日
1.20.x	2021年4月20日	2022年5月24日
1.18.x	2020年4月21日	2021年4月20日
1.16.x	2019年4月23日	2020年4月21日
1.14.x	2018年4月17日	2019年4月23日
1.12.x	2017年4月12日	2018年4月17日
1.10.x	2016年4月26日	2017年4月12日
1.8.x	2015年4月21日	2016年4月26日
1.6.x	2014年4月24日	2015年4月21日
1.4.x	2013年4月24日	2014年4月24日
1.2.x	2012年4月23日	2013年4月24日
1.0.x	2011年4月12日	2012年4月23日

※グレーのバージョンはセキュリティサポートが終了しています。

Nginx安定版の脆弱性情報

Nginxに関する脆弱性情報で、当社が把握しているものは次の通りです。
基本的に、Nginx 1.26.1以下を使用されている場合にはご注意いただいた方がよいかと思います。

脆弱性情報	深刻度	影響を受けるバージョン	修正されたバージョン
CVE-2024-35200 CVE-2024-35200 Detail	CVSS v3 5.3 (警告)	Nginx 1.26.0 Nginx 1.25.0から1.25.5	Nginx 1.26.1
CVE-2024-34161 CVE-2024-34161 Detail	CVSS v3 5.3 (警告)	Nginx 1.26.0 Nginx 1.25.0から1.25.5	Nginx 1.26.1
CVE-2024-32760 CVE-2024-32760 Detail	CVSS v3 6.5 (警告)	Nginx 1.26.0 Nginx 1.25.0から1.25.5	Nginx 1.26.1
CVE-2024-31079 CVE-2024-31079 Detail	CVSS v3 4.8 (警告)	Nginx 1.26.0 Nginx 1.25.0から1.25.5	Nginx 1.26.1
CVE-2024-24990 CVE-2024-24990 Detail	CVSS v3 7.5 (重要)	Nginx 1.25.0から1.25.3	Nginx 1.25.4
CVE-2024-24989 CVE-2024-24989 Detail	CVSS v3 7.5 (重要)	Nginx 1.25.3	Nginx 1.25.4
CVE-2024-7347 JVNDB-2024-006099	CVSS v3 4.7 (警告)	Nginx 1.27.0 Nginx 1.5.13から1.26.1	Nginx 1.27.1 Nginx 1.26.2
CVE-2022-41742 JVNDB-2022-022651	CVSS v3 7.1 (重要)	Nginx 1.23.0から1.23.1 Nginx 1.1.3から1.22.0	Nginx 1.23.2 Nginx 1.22.1
CVE-2022-41741 JVNDB-2022-022655	CVSS v3 7.8 (重要)	Nginx 1.23.0から1.23.1 Nginx 1.1.3から1.22.0	Nginx 1.23.2 Nginx 1.22.1
CVE-2021-23017 JVNDB-2021-007625	CVSS v3 7.7 (重要)	Nginx 0.6.18から1.20.0	Nginx 1.20.1
CVE-2019-9516 JVNDB-2019-008116	CVSS v3 6.5 (警告)	Nginx 1.17.0から1.17.2 Nginx 1.9.5から1.16.0	Nginx 1.17.3 Nginx 1.16.1
CVE-2019-9513 JVNDB-2019-008113	CVSS v3 7.5 (重要)	Nginx 1.17.0から1.17.2 Nginx 1.9.5から1.16.0	Nginx 1.17.3 Nginx 1.16.1
CVE-2019-9511 JVNDB-2019-008111	CVSS v3 7.5 (重要)	Nginx 1.17.0から1.17.2 Nginx 1.9.5から1.16.0	Nginx 1.17.3 Nginx 1.16.1
CVE-2018-16845 JVNDB-2018-014189	CVSS v3 6.1 (警告)	Nginx 1.1.3から1.15.5 Nginx 1.0.7から1.0.15	Nginx 1.15.6 Nginx 1.14.1
CVE-2018-16844 JVNDB-2018-011776	CVSS v3 7.5 (重要)	Nginx 1.15.0から1.15.5 Nginx 1.9.5から1.14.0	Nginx 1.15.6 Nginx 1.14.1
CVE-2018-16843 JVNDB-2018-011775	CVSS v3 7.5 (重要)	Nginx 1.15.0から1.15.5 Nginx 1.9.5から1.14.0	Nginx 1.15.6 Nginx 1.14.1
CVE-2017-7529 JVNDB-2017-006088	CVSS v3 7.5 (重要)	Nginx 1.13.0から1.13.2 Nginx 0.5.6から1.12.1	Nginx 1.13.3 Nginx 1.12.2
CVE-2016-4450 JVNDB-2016-003032	CVSS v3 7.5 (重要)	Nginx 1.11.0 Nginx 1.3.9から1.10.0	Nginx 1.11.1 Nginx 1.10.1
CVE-2016-0747 JVNDB-2016-001780	CVSS v3 5.3 (警告)	Nginx 1.9.0から1.9.9 Nginx 0.6.18から1.8.0	Nginx 1.9.10 Nginx 1.8.1
CVE-2016-0746 JVNDB-2016-001744	CVSS v3 9.8 (緊急)	Nginx 1.9.0から1.9.9 Nginx 0.6.18から1.8.0	Nginx 1.9.10 Nginx 1.8.1
CVE-2016-0742 JVNDB-2016-001524	CVSS v3 7.5 (重要)	Nginx 1.9.0から1.9.9 Nginx 0.6.18から1.8.0	Nginx 1.9.10 Nginx 1.8.1
CVE-2014-3616 JVNDB-2014-005829	CVSS v2 4.3 (警告)	Nginx 1.7.0から1.7.4 Nginx 0.5.6から1.6.1	Nginx 1.7.5 Nginx 1.6.2
CVE-2014-3556 JVNDB-2014-007439	CVSS v2 6.8 (警告)	Nginx 1.7.0から1.7.3 Nginx 1.5.6から1.6.0	Nginx 1.7.4 Nginx 1.6.1
CVE-2014-0133 JVNDB-2014-001833	CVSS v2 7.5 (重要)	Nginx 1.5.0から1.5.11 Nginx 1.3.15から1.4.6	Nginx 1.5.12 Nginx 1.4.7
CVE-2014-0088 JVNDB-2014-002327	CVSS v2 7.5 (重要)	Nginx 1.5.10	Nginx 1.5.11
CVE-2013-4547 JVNDB-2013-005289	CVSS v2 7.5 (重要)	Nginx 1.5.0から1.5.6 Nginx 0.8.41から1.4.3	Nginx 1.5.7 Nginx 1.4.4
CVE-2013-2070 JVNDB-2013-003474	CVSS v2 5.8 (警告)	Nginx 1.3.9から1.4.0 Nginx 1.1.4から1.2.8	Nginx 1.4.1 Nginx 1.2.9
CVE-2013-2028 JVNDB-2013-003473	CVSS v2 7.5 (重要)	Nginx 1.3.9から1.4.0	Nginx 1.4.1
CVE-2012-2089 JVNDB-2012-002087	CVSS v2 6.8 (警告)	Nginx 1.1.3から1.1.18 Nginx 1.0.7から1.0.14	Nginx 1.1.19 Nginx 1.0.15
CVE-2012-1180 JVNDB-2012-002086	CVSS v2 5.0 (警告)	Nginx 1.1.0から1.1.16 Nginx 0.1.0から1.0.13	Nginx 1.1.17 Nginx 1.0.14
CVE-2011-4963 JVNDB-2012-003419	CVSS v2 5.0 (警告)	Nginx（Windows） 1.3.0 Nginx（Windows） 0.7.52から1.2.0	Nginx 1.3.1 Nginx 1.2.1
CVE-2011-4315 JVNDB-2011-003324	CVSS v2 6.8 (警告)	Nginx 1.1.0から1.1.7 Nginx 0.6.18から1.0.9	Nginx 1.1.8 Nginx 1.0.10
CVE-2010-2266 JVNDB-2010-004871	CVSS v2 5.0 (警告)	Nginx（Windows） 0.8.0から0.8.40 Nginx（Windows） 0.7.52から0.7.66	Nginx 0.8.41 Nginx 0.7.67
CVE-2010-2263 JVNDB-2010-004869	CVSS v2 5.0 (警告)	Nginx（Windows） 0.8.0から0.8.39 Nginx（Windows） 0.7.52から0.7.65	Nginx 0.8.40 Nginx 0.7.66
CORE-2010-0121	CVSS v2 4.3 (警告)	Nginx（Windows） 0.8.0から0.8.32 Nginx（Windows） 0.7.52から0.7.64	Nginx 0.8.33 Nginx 0.7.65
CVE-2009-4487 JVNDB-2010-004324	CVSS v2 6.8 (警告)	Nginx 0.7.64	修正されていません。
CVE-2009-3898 JVNDB-2009-005108	CVSS v2 4.9 (警告)	Nginx 0.8.0から0.8.16 Nginx 0.1.0から0.7.62	Nginx 0.8.17 Nginx 0.7.63
CVE-2009-3896 JVNDB-2009-005107	CVSS v2 5.0 (警告)	Nginx 0.8.0から0.8.13 Nginx 0.7.0から0.7.61 Nginx 0.6.0から0.6.38 Nginx 0.1.0から0.5.37	Nginx 0.8.14 Nginx 0.7.62 Nginx 0.6.39 Nginx 0.5.38
CVE-2009-3555 JVNDB-2009-002319	CVSS v2 5.8 (警告)	Nginx 0.1.0から0.8.22	Nginx 0.8.23
CVE-2009-2629 JVNDB-2009-002152	CVSS v2 7.5 (重要)	Nginx 0.8.0から0.8.14 Nginx 0.7.0から0.7.61 Nginx 0.6.0から0.6.38 Nginx 0.1.0から0.5.37	Nginx 0.8.15 Nginx 0.7.62 Nginx 0.6.39 Nginx 0.5.38

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。本記事では、CVSS v3にて緊急（9.0～10.0）、重要（7.0～8.9）、警告（4.0～6.9）に区分されるもののみを掲載しており、その他の情報については、JVN iPediaなどでご確認ください。CVSS v3の適用前の脆弱性情報についてはCVSS v2に基づいて記載しています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。JVN、NVDにてスコアリングされていない脆弱性情報についてはF5 Networksのスコアに準拠しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているかはわかりません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

Nginxのバージョンアップで想定されるトラブルと回避方法

Webサイトの安全性と高いパフォーマンスを維持するためには、Nginxのバージョンアップが必要となります。

しかしながら、Nginxのバージョンアップ作業を実施する場合、設定ファイルの更新漏れやモジュールやライブラリとの依存関係を原因とするエラーの発生等、トラブルが発生する可能性があります。

これらのトラブルを回避するため、事前にディベロップ環境、ステージング環境での検証やバックアップ、リリースノートの確認が非常に重要です。

Nginxのバージョンアップを継続する体制について

Nginxは世界ナンバー１シェアを誇るWebサーバーソフトウェアであり、大手企業であってもNginxを利用しているケースが多いのが現状です。

しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイトの数が増え、あるいはWebサイトの規模が大きくなるにつれて社内での対応が困難になることがあります。

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されており、Nginxはもちろんのこと、PHP、MySQL、各種OSのノウハウを有しています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

Nginxアップデートに関してお悩みがございましたら、こちらのお問合せよりお気軽にご相談ください。