Support 24/7
OSS
 Kontrolpanel
Kontosaldo:    
20 år med Nginx-huller: NGINX Rift kræver patch nu!

20 år med Nginx-huller: NGINX Rift kræver patch nu!

Maj 14, 2026 nginx security cve-2026-42945 nginx rift web server vulnerabilities infrastructure security buffer overflow rewrite module zero-day response production security

To årtier med Nginx-sårbarheder: Patch NGINX Rift i dag

F5 har netop sluppet patches til fire sårbarheder i Nginx. Den mest alvorlige, CVE-2026-42945 – kaldet NGINX Rift – er en bombe, der har ligget og tikkede i 18 år. Det er tid til at opdatere din server nu.

Den perfekte storm: Gamle fejl, nye trusler

Hvad gør NGINX Rift så farlig?

Fejlen sidder i rewrite-modullet. Den dukker op som en heap buffer overflow fra version 0.6.27 i 2008. Tænk over det: Før Docker, før smartphones dominererede.

Angrebet er simpelt. En uautentificeret hacker sender én enkelt HTTP-request. Ingen komplicerede kæder eller phishing.

Konsekvenserne er hårde. Uden ASLR bliver det remote code execution. Med ASLR? Stabil denial of service – worker-processer crasher og genstarter i loop.

CVSS-score: 9.2. Kæmpe kritisk niveau.

Hvordan slap den igennem i 20 år?

Rewrite-modullet bruger PCRE til URL-matching. Når du har unnamed captures som $1 eller $2, efterfulgt af ny rewrite, if eller set, overskrives heap-minnet. Klassisk buffer overflow, der burde være fanget tidligt.

Selv populære open-source-projekter som Nginx er ikke immune. Millioner af servere kører det. Den lange levetid betyder kæmpe risikozone.

Hvem skal handle med det samme?

NGINX Plus-brugere: R32 til R36? Patch til R32 P6 eller R36 P4.

Open Source-brugere: Version 1.0.0 til 1.30.0 er ramt. Gå til 1.30.1 eller 1.31.0.

Gammel hardware: Version 0.6.27 til 0.9.7 får ingen patch. Opgrader fuldt ud.

Midlertidig workaround, hvis du ikke kan patch'e

I change-freeze? Skift unnamed captures til named i dine rewrite-regler. Brug (?<navn>...) i stedet for $1.

Eksempel:

# Farligt
rewrite ^/user/([0-9]+)$ /profile?id=$1 last;

# Sikrere midlertidigt
rewrite ^/user/(?<id>[0-9]+)$ /profile?id=$id last;

Det stopper kun den specifikke sti. Patch så hurtigt som muligt.

De tre andre CVEs

F5 fik også disse:

  • CVE-2026-42946 (CVSS 8.3 High): For meget hukommelse i SCGI/uWSGI – DoS-risiko.
  • CVE-2026-40701 (CVSS 6.3 Medium): Use-after-free i SSL-modul med visse verify/OCSP-indstillinger.
  • CVE-2026-42934 (CVSS 4.8 Medium): Out-of-bounds læsning i charset-modul.

NGINX Rift er værst, men fik dem i næste vedligeholdelsesrunde.

Lektioner til din infrastruktur

Denne sag viser hårde realiteter:

  1. Popularitet beskytter ikke. Nginx er overalt, men fejlen overlevede 18 år.

  2. Alder er ingen styrke. Gamle kode samler bare flere problemer.

  3. Din sikkerhed hænger i den langsomste patch. Én sårbar instans kan vælte alt.

  4. Overvågning er nøglen. DoS slår til øjeblikkeligt, selv med ASLR.

Konklusion

Kører du Nginx? Behandl disse patches som en nødsituation. NGINX Rift kombinerer alder, enkelhed og kritisk alvor.

Opdater denne uge. Test i staging, men vent ikke i produktion. Risikoen ved at blive sårbar er meget større end opdateringsrisici.

Tjek dine rewrite-regler og versioner nu. Det styrker din sikkerhed på én gang.

Hold dig sikker.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE ZH-HANS EN