こんにちは。KUSANAGI 開発チーム、プロダクトマネジャーの相原です。
今回は、前回のコラム(2026年2月22日公開)以降のKUSANAGI最新アップデートをまとめてお伝えします。
2月後半から3月は、KUSANAGI 本体のバージョンアップに加え、nginx・nghttp2・Node.js と複数のミドルウェアにまたがる脆弱性対応が続きました。Security Advisory の件数自体は月あたり数件というこれまでの水準と変わりませんが、nginx・nghttp2・Node.js への対応が短い期間に重なったことは、改めて継続的なアップデートの大切さを感じさせる月でもありました。
Security Editionの自動更新をご利用中の方はすでに自動で適用済みです。手動管理の方は、以下の内容を参考に早急な対応をお願いします。
2月後半〜3月のアップデート内容
KUSANAGIバージョンアップ
| 日付 | パッケージ | 対象エディション | 主な変更内容 |
|---|---|---|---|
| 2026/3/17 | KUSANAGI 9 9.8.8-1 | KUSANAGI 9 / Business / Page Speed | PostgreSQL 13のarchive移行対応。Drupalプロビジョン時のエラー修正 |
| 2026/3/17 | Security Edition 10.3.8-1.el9 | Security Edition | 上記に対応するSE向けアップデート |
| 2026/3/18 | Business Edition 3.0.1-1 | Business / Page Speed | kusanagi container on コマンドがPHP 8.5に対応 |
| 2026/3/23 | Security Edition 10.3.10-1.el9 | Security Edition | Security Editionの更新 |
KUSANAGI 9 9.8.8-1 について
PostgreSQL 13 のリポジトリが公式にアーカイブへ移行したことへの対応です。前回のコラムでもお伝えしましたが、PostgreSQL 13 のサポートはすでに終了しています。まだご利用中の方は、kusanagi upgrade psql コマンドを使って PostgreSQL 14 以降へのアップグレードをお願いします。
また、Drupal のプロビジョン時に配布元サイトの負荷によってエラーが発生することがある問題も修正されました。
Business Edition 3.0.1-1 について
kusanagi container on コマンドが PHP 8.5 に対応しました。コンテナ環境でも最新PHPを利用できるようになっています。
ミドルウェア・モジュール更新
PHP(全エディション共通)
| 日付 | パッケージ | バージョン |
|---|---|---|
| 2026/3/17 | kusanagi-php84 | 8.4.19-1 |
| 2026/3/17 | kusanagi-php85 | 8.5.4-1 |
nginx
この期間中に複数回更新しています。3/26 に脆弱性対応版(1.28.3-1 / 1.29.7-1)を配信していますので、適用済みかどうかあらためてご確認ください。
| 日付 | パッケージ | バージョン | 対象エディション | 備考 |
|---|---|---|---|---|
| 2026/3/3 | kusanagi-nginx128 | 1.28.2-2.el9 | Security Edition | |
| 2026/3/3 | kusanagi-nginx129 | 1.29.5-2.el9 | Security Edition | |
| 2026/3/19 | kusanagi-nginx128 | 1.28.2-2 | KUSANAGI 9 / Business / Page Speed | |
| 2026/3/19 | kusanagi-nginx129 | 1.29.6-1 | KUSANAGI 9 / Business / Page Speed | |
| 2026/3/19 | kusanagi-nginx129 | 1.29.6-1.el9 | Security Edition | |
| 2026/3/26 | kusanagi-nginx128 | 1.28.3-1 | 全エディション | 脆弱性対応(CVE 6件) |
| 2026/3/26 | kusanagi-nginx129 | 1.29.7-1 | 全エディション | 脆弱性対応(CVE 6件) |
その他ミドルウェア(全エディション共通)
| 日付 | パッケージ | バージョン | 備考 |
|---|---|---|---|
| 2026/3/2 | kusanagi-mod_security_crs | 4.24.0-1 | WAFルールセット更新 |
| 2026/3/9 | kusanagi-nodejs22 | 22.22.1-1 | |
| 2026/3/9 | kusanagi-python | 3.12.13-1 | |
| 2026/3/10 | kusanagi-mod_security_crs | 4.24.1-1 | WAFルールセット更新 |
| 2026/3/10 | kusanagi-openldap | 2.6.13-1 | |
| 2026/3/13 | kusanagi-curl | 8.19.0-1 | |
| 2026/3/23 | kusanagi-nghttp2 | 1.68.1-1 | 脆弱性対応(CVE-2026-27135) |
| 2026/3/30 | kusanagi-nodejs22 | 22.22.2-1 | 脆弱性対応(CVE 7件) |
| 2026/3/30 | kusanagi-ngtcp2 | 1.22.0-1 |
エディション固有のモジュール更新
| 日付 | パッケージ | バージョン | 対象エディション |
|---|---|---|---|
| 2026/3/11 | kusanagi-prem3-nodejs | 2.2.11-1 | Page Speed Technology |
KUSANAGIプラグイン(全エディション共通)
| 日付 | パッケージ | バージョン |
|---|---|---|
| 2026/3/24 | kusanagi-wp-plugins | 20260304-1 |
Security Advisory の詳細
kusanagi-nghttp2(3/23) 深刻度:重要
HTTP/2通信の基盤ライブラリ nghttp2 に脆弱性(CVE-2026-27135)が発見されました。KUSANAGI 9、Business Edition、Page Speed Technology、Security Edition すべてが対象です。
kusanagi-nginx128 / nginx129(3/26) 深刻度:重要
nginx に6件の脆弱性が同時に報告されました。代表的なものは以下です。
- alias 設定のある location で COPY/MOVE リクエスト処理時のバッファオーバーフロー(CVE-2026-27654)
- ngx_http_mp4_module による特殊なmp4ファイル処理でのワーカープロセスクラッシュ(CVE-2026-27784、CVE-2026-32647)
- PTR DNSレコードを使った auth_http リクエストへのデータ挿入(CVE-2026-28753)
- ストリームモジュールでOCSPがクライアント証明書を拒否してもSSLハンドシェイクが成功する問題(CVE-2026-28755)
kusanagi-nodejs22(3/30) 深刻度:重要
Node.js 22 に7件の脆弱性が報告されました。TLS処理の例外処理漏れ(CVE-2026-21637)とHTTPヘッダ処理(CVE-2026-21710)の2件はHigh評価です。kusanagi-nodejs22 22.22.2-1 として修正済みです。
kusanagi-mod_security_crs(3/30) 評価待ち
深刻度の評価は現在も継続中ですが、アップデートはすでに配信されています。
※Security Editionでミドルウェアの自動更新を有効にしている場合は、修正は自動で適用されます。
今後の見通し~SafeUpgrade の進化と AlmaLinux 10 対応
現在、Security Edition の「SafeUpgrade」において、PHPのバージョンアップ対応を進めています。ブラウザ表示テストなどと組み合わせ、よりリスクを抑えた自動更新体験を目指しています。
また、次世代OS「AlmaLinux 10」への対応についても、引き続き基礎開発を進めています。こちらも進捗があればお伝えしていきたいと思います。
ミドルウェアの脆弱性対応は、特定の月に集中することもあれば静かな月もあり、予測がしにくいものです。「気づいたときには遅い」を防ぐための仕組みとして、ぜひ KUSANAGI Security Edition の自動更新機能をご活用ください。
引き続き、安全で快適なWordPress運用のために、サポートしていきたいと思います。
