- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月12日に執筆しています。
今回はNginx(エンジンエックス)のバージョン情報とサポート期限についてまとめてみたいと思います。
NginxとはF5, Inc.が開発やサポートを継続しているオープンソースのWebサーバーソフトウェアの一つであり、W3Techs - World Wide Web Technology Surveysによれば、現時点で世界ナンバー1のシェアを有しています。
Webサーバーソフトウェアの分野では、Apacheがこれまで長年1位を維持していましたが、2021年ごろにNginxがApacheを抜いてシェア1位となりました。
それ以降もNginxのシェアは増加傾向にあり、現在ではApacheが29%であるのに対しNginxは34%と、5ポイント上回っている状況です。
安全で円滑なWebサイトの運用のためには、Nginxも最新バージョンへのアップデートが欠かせません。
一方で、不用意なアップデートによってWebサイトが表示されないといった不具合が起こる可能性もあります。
この記事ではNginxのバージョン情報とサポート期限についてまとめた上で、Nginxの脆弱性についてもご紹介したいと思います。
少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。
Nginx(エンジンエックス)のバージョンには、安定版(Stable:主に不具合の修正とセキュリティアップデートが行われるバージョン、マイナーバージョンが偶数)と開発版(Mainline:新機能が頻繁に追加されるバージョン、マイナーバージョンが奇数)の2種類があります。
Mainlineという言葉の通り、Nginx公式は開発版の使用を推奨していますが、企業で使用されるのは信頼性の高い安定板であるため、本記事でのNginxのバージョンは安定版のバージョンを指すものとします。
2024年9月現在、Nginx安定版の最新バージョンは1.26系統であり、公式がセキュリティサポートをしているバージョンも1.26系統のみです。
Nginxのバージョンが1.20.0以下の場合には、重要レベルの脆弱性が存在する可能性があります。
Nginxの公式サポートは、アクティブサポートおよびセキュリティサポートの期間を厳密には区別しておらず、基本的にはリリース日から1年間で次の安定版がリリースされ、当該バージョンのサポートは終了します。
Nginx安定版の各バージョンについてのリリース日とサポート期限は次の通りです。
Nginxのバージョン | リリース日 | サポート期限 |
1.26.x | 2024年4月23日 | 2026年4月頃(予測) |
1.24.x | 2023年4月11日 | 2024年4月23日 |
1.22.x | 2022年5月24日 | 2023年4月11日 |
1.20.x | 2021年4月20日 | 2022年5月24日 |
1.18.x | 2020年4月21日 | 2021年4月20日 |
1.16.x | 2019年4月23日 | 2020年4月20日 |
1.14.x | 2018年4月17日 | 2019年4月23日 |
1.12.x | 2017年4月12日 | 2018年4月17日 |
1.10.x | 2016年4月26日 | 2017年4月12日 |
1.8.x | 2015年4月21日 | 2016年4月26日 |
1.6.x | 2014年4月24日 | 2015年4月21日 |
1.4.x | 2013年4月24日 | 2014年4月24日 |
1.2.x | 2012年4月23日 | 2013年4月24日 |
1.0.x | 2011年4月12日 | 2012年4月23日 |
※グレーのバージョンはセキュリティサポートが終了しています。
Nginx安定板に影響を与える脆弱性情報で、当社が把握しているものは次の通りです。
基本的に、Nginx1.23.2以下を使用されている場合にはご注意いただいた方がよいかと思います。
脆弱性情報 | 深刻度 | 影響を受けるバージョン |
CVSS v3 7.8 (重要) |
nginx1.23.2未満 nginx1.22.1未満 |
|
CVSS v3 7.1 (重要) |
nginx1.23.2未満 nginx1.22.1未満 |
|
CVSS v3 7.7 (重要) |
nginx0.6.18から1.20.0 | |
CVSS v3 7.4 (重要) |
nginx1.21.0未満 | |
CVSS v3 5.3 (警告) |
nginx1.17.7未満 | |
CVSS v3 7.5 (重要) |
nginx1.15.6未満 nginx1.14.1未満 |
|
CVSS v3 7.5 (重要) |
nginx1.15.6未満 nginx1.14.1未満 |
|
CVSS v3 9.8 (緊急) |
nginx1.13.6未満 | |
CVSS v3 7.5 (重要) |
nginx0.5.6から1.13.2 | |
CVSS v2 5.8 (警告) |
nginx1.1.4から1.2.8 nginx1.3.0から1.4.0 |
|
CVSS v2 7.5 (危険) |
nginx1.3.9から1.4.0 |
※脆弱性情報をご利用になる場合にはJVNないしCVEの詳細ページを必ずご確認ください。
Webサイトの安全性と高いパフォーマンスを維持するためには、Nginxのバージョンアップが必要となります。
しかしながら、Nginxのバージョンアップ作業を実施する場合、設定ファイルの更新漏れやモジュールやライブラリとの依存関係を原因とするエラーの発生等、トラブルが発生する可能性があります。
これらのトラブルを回避するため、事前にディべロップ環境、ステージング環境での検証やバックアップ、リリースノートの確認が非常に重要です。
Nginxは世界ナンバー1シェアを誇るWebサーバーソフトウェアであり、大手企業であってもNginxを利用しているケースが多いのが現状です。
しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイトの数が増え、あるいはWebサイトの規模が大きくなるにつれて社内での対応が困難になることがあります。
Nginxアップデートに関してお悩みがございましたら、こちらのお問い合わせよりお気軽にご相談ください。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
taneCREATIVEに所属する謎のトラ。