24/7 Support
FAQ
 Dashbord
Kontosaldo:    
To år med Nginx-hull: NGINX Rift krever patch nå!

To år med Nginx-hull: NGINX Rift krever patch nå!

Mai 14, 2026 nginx security cve-2026-42945 nginx rift web server vulnerabilities infrastructure security buffer overflow rewrite module zero-day response production security

To tiår med Nginx-sårbarheter: Hvorfor NGINX Rift krever oppdatering nå

Arvepakkene i populære webservere kan bite hardt tilbake. Tenk deg en feil som har ligget i Nginx i 18 år.

F5 har nettopp sluppet fikser for fire sårbarheter. Den verste, CVE-2026-42945 – kalt NGINX Rift av oppdagerne i depthfirst – er kritisk. Alle med Nginx-infrastruktur bør starte oppdateringsløpene sine i dag.

Farlig kombinasjon: Gammel kode møter moderne trusler

Her er hvorfor NGINX Rift er så ille:

Feilen: En heap buffer overflow i rewrite-modulen. Den dukket opp i versjon 0.6.27 fra 2008. Da var Docker fortsatt en drøm, og Apache var kongen.

Angrepsmetoden: Bare én stygg HTTP-forespørsel fra en anonym angriper. Ingen kompliserte kjeder eller passordtyveri.

Konsekvensene: Uten ASLR blir det full remote code execution. Med ASLR? Stabil DoS – workerne krasjer i loop.

CVSS: 9.2. Nesten maks kritisk.

Hvordan slapp denne unna i 20 år?

Rewrite-modulen bruker PCRE for URL-matching. Når du blander unnamed captures som $1 eller $2 med flere rewrite, if eller set-kommandoer, overskrives heap-minnet. Klassisk buffer overflow som burde vært fanget tidlig.

Selv i et pleiet open source-prosjekt som Nginx, med millioner av brukere, kan gamle feil gjemme seg. Levealderen øker bare skadeomfanget.

Hvem må fikse med en gang?

NGINX Plus: R32 til R36? Gå til R32 P6 eller R36 P4.

Open Source: 1.0.0–1.30.0 rammet. Opp til 1.30.1 eller 1.31.0.

Gammelrot: 0.6.27–0.9.7 får ingen patch. Full oppgradering, punktum.

Rask fiks hvis patching venter

I change-freeze? Bytt unnamed captures til named i rewrite-reglene. Unngår triggeren midlertidig.

Eksempel:

# Farlig
rewrite ^/user/([0-9]+)$ /profile?id=$1 last;

# Bedre (midlertidig)
rewrite ^/user/(?<id>[0-9]+)$ /profile?id=$id last;

Dette er plaster. Patch så fort du kan.

De tre andre CVE-ene

F5 fikset også disse:

  • CVE-2026-42946 (CVSS 8.3 High): For mye minne i SCGI/uWSGI – DoS-risiko i proxy-setup.

  • CVE-2026-40701 (CVSS 6.3 Medium): Use-after-free i SSL-modulen ved spesielle ssl_verify_client/OCSP-innstillinger.

  • CVE-2026-42934 (CVSS 4.8 Medium): Out-of-bounds read i charset-modulen.

Mindre akutt enn Rift, men ta dem i neste vedlikehold.

Lærdom for infrastruktur-sikkerhet

Denne saken banker inn noen harde realiteter:

  1. Populært ≠ usårligt. Nginx er overalt, likevel 18 år med blindflekke.

  2. Gammel kode = mer risiko. Ikke "testet i kamp" – bare mer tid til å hope feil.

  3. Sikkerhet stopper ved tregeste patch. Én sårbar instans kan ødelegge alt.

  4. Overvåk aktivt. DoS-delen slår til raskt, selv med ASLR.

Konklusjon

Kjør du Nginx? Behandle disse patchene som krise, ikke rutine. NGINX Rifts alder, enkel angrep og høy alvorlighet setter den øverst på lista.

Oppdater denne uka. Test i staging, men ikke utsett prod. Risikoen ved å vente er mye verre enn å fikse stabil software.

Sjekk configene dine nå – rewrite-regler, versjoner, alt. Tid for en sikkerhetsrunde.

Hold deg trygg.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NL HU IT FR ES DE DA ZH-HANS EN