【2024年9月版】Nginxのバージョン情報とサポート期限

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月12日に執筆しています。

今回はNginx(エンジンエックス)のバージョン情報とサポート期限についてまとめてみたいと思います。

NginxとはF5, Inc.が開発やサポートを継続しているオープンソースのWebサーバーソフトウェアの一つであり、W3Techs - World Wide Web Technology Surveysによれば、現時点で世界ナンバー1のシェアを有しています。

Webサーバーソフトウェアの分野では、Apacheがこれまで長年1位を維持していましたが、2021年ごろにNginxがApacheを抜いてシェア1位となりました。
それ以降もNginxのシェアは増加傾向にあり、現在ではApacheが29%であるのに対しNginxは34%と、5ポイント上回っている状況です。

安全で円滑なWebサイトの運用のためには、Nginxも最新バージョンへのアップデートが欠かせません。
一方で、不用意なアップデートによってWebサイトが表示されないといった不具合が起こる可能性もあります。

この記事ではNginxのバージョン情報とサポート期限についてまとめた上で、Nginxの脆弱性についてもご紹介したいと思います。

少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。

Nginxのバージョン情報に関するポイント

Nginx(エンジンエックス)のバージョンには、安定版(Stable:主に不具合の修正とセキュリティアップデートが行われるバージョン、マイナーバージョンが偶数)と開発版(Mainline:新機能が頻繁に追加されるバージョン、マイナーバージョンが奇数)の2種類があります。

Mainlineという言葉の通り、Nginx公式は開発版の使用を推奨していますが、企業で使用されるのは信頼性の高い安定板であるため、本記事でのNginxのバージョンは安定版のバージョンを指すものとします。

2024年9月現在、Nginx安定版の最新バージョンは1.26系統であり、公式がセキュリティサポートをしているバージョンも1.26系統のみです。

Nginxのバージョンが1.20.0以下の場合には、重要レベルの脆弱性が存在する可能性があります。

Nginxのリリース日とサポート期限

Nginxの公式サポートは、アクティブサポートおよびセキュリティサポートの期間を厳密には区別しておらず、基本的にはリリース日から1年間で次の安定版がリリースされ、当該バージョンのサポートは終了します。

Nginx安定版の各バージョンについてのリリース日とサポート期限は次の通りです。

Nginxのバージョン リリース日 サポート期限
1.26.x 2024年4月23日 2026年4月頃(予測)
1.24.x 2023年4月11日 2024年4月23日
1.22.x 2022年5月24日 2023年4月11日
1.20.x 2021年4月20日 2022年5月24日
1.18.x 2020年4月21日 2021年4月20日
1.16.x 2019年4月23日 2020年4月20日
1.14.x 2018年4月17日 2019年4月23日
1.12.x 2017年4月12日 2018年4月17日
1.10.x 2016年4月26日 2017年4月12日
1.8.x 2015年4月21日 2016年4月26日
1.6.x 2014年4月24日 2015年4月21日
1.4.x 2013年4月24日 2014年4月24日
1.2.x 2012年4月23日 2013年4月24日
1.0.x 2011年4月12日 2012年4月23日

※グレーのバージョンはセキュリティサポートが終了しています。

Nginx安定板の脆弱性情報

Nginx安定板に影響を与える脆弱性情報で、当社が把握しているものは次の通りです。
基本的に、Nginx1.23.2以下を使用されている場合にはご注意いただいた方がよいかと思います。

脆弱性情報 深刻度 影響を受けるバージョン

CVE-2022-41741
JVNDB-2022-022655

CVSS v3
7.8 (重要)
nginx1.23.2未満
nginx1.22.1未満

CVE-2022-41742
JVNDB-2022-022651

CVSS v3
7.1 (重要)
nginx1.23.2未満
nginx1.22.1未満

CVE-2021-23017
JVNDB-2021-007625

CVSS v3
7.7 (重要)
nginx0.6.18から1.20.0

CVE-2021-3618
JVNDB-2021-019676

CVSS v3
7.4 (重要)
nginx1.21.0未満

CVE-2019-20372
JVNDB-2019-014086

CVSS v3
5.3 (警告)
nginx1.17.7未満

CVE-2018-16844
JVNDB-2018-011776

CVSS v3
7.5 (重要)
nginx1.15.6未満
nginx1.14.1未満

CVE-2018-16843
JVNDB-2018-011775

CVSS v3
7.5 (重要)
nginx1.15.6未満
nginx1.14.1未満

CVE-2017-20005
JVNDB-2017-015095

CVSS v3
9.8 (緊急)
nginx1.13.6未満

CVE-2017-7529
JVNDB-2017-006088

CVSS v3
7.5 (重要)
nginx0.5.6から1.13.2

CVE-2013-2070
JVNDB-2013-003474

CVSS v2
5.8 (警告)
nginx1.1.4から1.2.8
nginx1.3.0から1.4.0

CVE-2013-2028
JVNDB-2013-003473

CVSS v2
7.5 (危険)
nginx1.3.9から1.4.0

※脆弱性情報をご利用になる場合にはJVNないしCVEの詳細ページを必ずご確認ください。

Nginxのバージョンアップで想定されるトラブルと回避方法

Webサイトの安全性と高いパフォーマンスを維持するためには、Nginxのバージョンアップが必要となります。

しかしながら、Nginxのバージョンアップ作業を実施する場合、設定ファイルの更新漏れやモジュールやライブラリとの依存関係を原因とするエラーの発生等、トラブルが発生する可能性があります。

これらのトラブルを回避するため、事前にディべロップ環境、ステージング環境での検証やバックアップ、リリースノートの確認が非常に重要です。

Nginxのバージョンアップを継続する体制について

Nginxは世界ナンバー1シェアを誇るWebサーバーソフトウェアであり、大手企業であってもNginxを利用しているケースが多いのが現状です。

しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイトの数が増え、あるいはWebサイトの規模が大きくなるにつれて社内での対応が困難になることがあります。

Nginxアップデートに関してお悩みがございましたら、こちらのお問い合わせよりお気軽にご相談ください。

当社に関して

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。