F5、NGINXの重大な脆弱性にパッチ（CVE-2026-42530、CVE-2026-42055他）

F5、NGINXの重大な脆弱性に対処するパッチを公開（CVE-2026-42530、CVE-2026-42055他）

SecurityWeek – June 18, 2026

米ITテクノロジー企業F5は17日に緊急セキュリティアップデートを公開し、アプリケーションプラットフォームNGINXに存在する複数の脆弱性に対処した。

最も深刻なのは「Critical」と評価されたCVE-2026-42530とCVE-2026-42055（どちらもCVSSスコアは9.2）で、認証なしで悪用された場合、解放済みメモリ使用やヒープベースのバッファオーバーフローを引き起こす可能性があるとのこと。いずれの脆弱性もHTTPモジュールに影響を与え、悪用されるとNGINXのワーカープロセスが再起動し、サービス拒否（DoS）状態に陥る恐れがあるという。

また、アドレス空間配置のランダム化（ASLR）が無効になっている、あるいは回避可能な場合は、攻撃者に任意のコードを実行される可能性もあるそうだ。F5はこれらの欠陥を修正したNGINX Plus、NGINX Open Source、およびNGINX Gateway Fabricの更新版をリリースしている。

同社はさらに、NGINX Gateway Fabricの脆弱性CVE-2026-11311とCVE-2026-50107も修正した。これらは認証された攻撃者が任意のNGINX設定ディレクティブを注入できるようになる脆弱性とされ、悪用に成功するとNGINXポッドのファイルシステムから機微データを漏洩させたり、攻撃者が制御するエンドポイントへトラフィックをプロキシさせたり、あるいはNGINXの再読み込みを妨害する設定を注入してDoS状態を引き起こしたりする可能性があると説明された。

そのほか、深刻度が中程度と評価されたNGINXのバグ2件に対するパッチもリリースされている。

インド政府、入試問題流出について供述書を提出　当該チャンネルの監視は困難とTelegramが認めたと主張

BleepingComputer – June 18, 2026

Telegramを介して医学部入試問題（NEET-UG）が漏洩し、同プラットフォームへのアクセスを遮断した問題について、インド政府は18日にデリー高等裁判所へ宣誓供述書を提出した。Asian News International（ANI）の報道によると、インド政府は遮断措置の約2週間前にTelegramへ警告を発していたことや、流出した試験問題を販売するチャンネルを能動的に検知することは難しいと同プラットフォーム側が認めていたことを明記したようだ。

この措置はNEET-UGを控えた時期にインド全国で実施されたものの、その影響は国内にとどまらず、遠く離れたアラブ首長国連邦（UAE）のユーザーもTelegramにアクセスできなくなったという。Telegram側は一貫して当局に協力してきたと主張しており、今回の措置を違法と訴えている。

インド政府の供述書には、試験問題流出疑惑に関連してTelegramが悪用されているとの苦情がインド電子・情報技術省に複数寄せられていたことや、試験実施機関National Testing Agency（NTA）が流出問題の拡散と試験関連詐欺を行ったチャンネル・グループ・ボットを特定したことが記されていたとされる。

インド政府はアクセスを全面的に遮断したわけではないとし、まずTelegramに直接懸念を伝えたところ、そうしたコンテンツを能動的に検知する能力には限界があり、通報されたチャンネルのみ監視対象になっていることを相手側が認めたと主張している。遮断措置を不服とするTelegramの申し立てについて、デリー高等裁判所は判断を保留したと報じられており、決定が下されるまで遮断措置は継続される。

一方、Telegram側も法廷で遮断措置に異議を唱えているが、パベル・ドゥーロフCEOはXへの投稿でインドの通信事業者Reliance（リライアンス）を非難。今回の遮断措置を同社の意図的な妨害工作と断じ、WhatsAppとの競争に関連するものだと主張している。

NEET-UGの再試験は21日に実施される予定。遮断措置も22日に解除される見込みだが、こちらは裁判所の決定次第で変更される可能性がある。なお、通信障害の影響を受けたユーザーでも、TelegramのMTProtoプロキシ機能を利用すれば引き続きサービスにアクセスできる模様。