Ein kritischer Speicherausfall in NGINX, identifiziert als CVE-2026-42945 wieder zeigt, dass auch massiv eingesetzte Softwareprojekte historische Fehler mit aktuellen Auswirkungen ziehen können. Vulnerability ist ein Pufferüberlauf im Modul ngx _ http _ rewrite _, das seit fast 18 Jahren im Code geblieben ist und nach der CVSS-Klassifikation eine hohe Punktzahl (9.2) für sein Potenzial zur Verweigerung des Dienstes und unter bestimmten Bedingungen Remotecode-Ausführung erhalten hat.
Die Forschung, die dieses Misserfolg enthüllte, wurde von DepthFirst AI veröffentlicht, die während einer automatisierten Code-Analyse Sitzung auch drei zusätzliche Speicher Korruption Probleme gefunden. Der zentrale Vektor von CVE-2026-42945 ist eine Inkonsistenz im internen Motor von NGINX-Skripten: ein erster Pass berechnet den notwendigen Speicher mit freien URI-Längen und ein zweiter Pass schreibt die entkommene Version (langer), wodurch ein Heap Pufferüberlauf wenn 'rewrite' und 'set' Richtlinien koexistieren in typischen API-Gateways und Reverse-Proxies-Konfigurationen.
DepthFirst zeigte ein Betriebsszenario, dass in Umgebungen mit ASLR deaktiviert, erlaubt, NGINX-Pool-Speicherstrukturen zu korrumpieren, überschreiben Reinigungsgriffe Punkte und Kraftsystem () Ausführung während des Reinigungsvorgangs - das ist eine Möglichkeit zur Remote-Befehlsausführung. Allerdings hat die Gemeinschaft diese Erkenntnis verfälscht: Forscher wie Kevin Beaumont und Vertriebsteams wie AlmaLinux haben darauf hingewiesen, dass diese Überflutung zu einer zuverlässigen Explosion gegen Systeme mit modernen Schutzmöglichkeiten nicht trivial ist. Doch jeder stimmt zu, dass die Denial-of-Service-Komponente einfach reproduziert und als dringend behandelt werden muss.
Die Höhe des Risikos ist nicht geringer, wenn wir der Ansicht sind, dass NGINX Leistung ca. ein Drittel der Hauptplätze und ist weit verbreitet in Cloud-Lieferanten, SaaS-Plattformen, Banken, E-Commerce und Kubernetes-Clustern. Die NGINX-Multiprozessarchitektur erleichtert auch die Ausbeutung: Die Worker-Prozesse erben nahezu identische Speicherdesigns aus dem Master-Prozess, was wiederholte Versuche ermöglicht, den Heap auch dann zu handhaben, wenn ein Worker blockiert und ersetzt wird.
F5, verantwortlich für die Wartung des Projekts, veröffentlichte eine Mitteilung mit den betroffenen Versionen und Patches. Die Korrekturen sind in NGINX Open Source 1.31.0 und 1.30.1 sowie in speziellen Patches für NGINX Plus und andere Ökosystemverteilungen verfügbar. Für offizielle Details siehe F5 und NVD-Beschreibung: F5 Sicherheitsberatung und NVD · CVE-2026-42945. Tiefe Erster technischer Bericht mit der Forschung wird als detaillierter Hinweis auf seiner Seite veröffentlicht: DepthFirst · NGINX Rift.
Zusätzlich zu CVE-2026-42945 haben die Scans andere Fehler in der gleichen Zeit erkannt: eine übermäßige Zuordnung von Speicher in SCSI / UWSGI-Modulen, die Arbeitnehmer mit einem Arbeitseinsatz von ~ 1 TB (CVE-2026-42946), eine nach-freie Verwendung- in asynchroner OCSP-Auflösung (CVE-2026-40701) und einen Off-by-one-Fehler in UTF-8 (CVE-2026-42934). Obwohl letztere durchschnittliche oder hohe Bewertungen erhielten, bekräftigen sie gemeinsam die Idee, dass es notwendig ist, in voller Produktion zu prüfen.
Wenn Sie Umgebungen mit NGINX verwalten, sind die vorrangigen Aktionen, die ich empfehle, klar: Aktualisierungen der abgebuchten Versionen so bald wie möglich nach den Vorproduktionstests; wenn Sie nicht sofort parken können, wenden Sie eine vorübergehende Minderung vorgeschlagen durch den Lieferanten, wie z.B. Ersatz unbenannter PCRE-Capture-Gruppen ($1, $2, etc.) in "Rewrite"-Regeln für benannte Fänge, die den angegebenen Hauptbetriebszustand eliminieren. Überprüfen Sie die Rewrite und Regeln, begrenzen Sie die exponierte Oberfläche von Endpunkten, die komplexe Konsultationsketten akzeptieren und straffen die Größe und Zeitbegrenzungsrichtlinien für HTTP-Anfragen reduziert die Wahrscheinlichkeit der Ausbeutung.
Es prüft auch, ob die Schutzmaßnahmen des Systems aktiv sind: ASLR muss aktiviert sein und VM-Container oder -Bilder dürfen keine Minderung aus Produktionsleistungsgründen deaktivieren. Es stärkt die Prozessisolation, führt NGINX mit minimalen Privilegien, hält Aufzeichnungen und Warnungen auf die Fehler der Arbeiter und häufige Wiedereinführungen, und wendet Erkennung von HTTP-Verkehrsanomalien an, die Sie ausnutzen können. Für Kubernetes Umgebungen, schnell aktualisieren Sie die Ingress Treiber und die Basisbilder in den Pods verwendet.
Schließlich ist es der Ansicht, dass die verfügbaren Beweise eine doppelte Bedrohung zeigen: ein replizierbarer DoS-Vektor und ein CERs-Vektor, der bestimmte Bedingungen erfordert. Unterschätzen Sie nicht die operativen Auswirkungen von wiederholten Arbeiterblockagen oder die Möglichkeit, dass ein spezialisierter Angreifer Techniken anpassen kann, um die Minderung in bestimmten Umgebungen anzusprechen. Planen Sie den Parkplatz in kontrollierten Fenstern, geben Sie die Änderungen an Lade- und Sicherheitstests ein und halten Sie die Kommunikation mit Ihren Lieferanten und Notfall-Responsibility-Geräten aufrecht, um die Eindämmung zu beschleunigen, wenn Sie verdächtige Aktivität im Zusammenhang mit diesen Schwachstellen erkennen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...