24/7 ondersteuning
Veelgestelde vragen
 Dashboard
Accountsaldo:    
Twintig Jaar Nginx-kwetsbaarheden: Tijd om te Patchen voor NGINX Rift

Twintig Jaar Nginx-kwetsbaarheden: Tijd om te Patchen voor NGINX Rift

Mei 14, 2026 nginx security cve-2026-42945 nginx rift web server vulnerabilities infrastructure security buffer overflow rewrite module zero-day response production security

Achttien Jaar Oude Nginx-Kwetsbaarheid: NGINX Rift Dwingt Je Nu Tot Patchen

F5 heeft net patches uitgerold voor vier Nginx-gaten. De ergste, CVE-2026-42945 – bij depthfirst omgedoopt tot NGINX Rift – is zo gevaarlijk dat elke sysadmin meteen aan de slag moet.

Hoe Zo'n Oude Bug Nog Steeds Schadelijk Is

Deze kwetsbaarheid zit diep in Nginx. Hier de kern:

De Bug: Heap buffer overflow in de rewrite-module. Die sluimert sinds versie 0.6.27 uit 2008. Ja, dat is ouder dan Docker en de iPhone-boom.

Aanval: Een hacker stuurt één slimme HTTP-request. Geen login nodig, geen phishing. Gewoon raken en exploiten.

Gevolgen: Zonder ASLR? Remote code execution. Met ASLR? Betrouwbare DoS – workers crashen en herstarten eindeloos.

Score: CVSS 9.2. Kritiek, bijna het maximum.

Waarom Dit Langer Dan Twee Decennia Onopgemerkt Blijft

Nginx rewrite-module gebruikt PCRE voor URL-matching. Bij unnamed captures zoals $1 of $2, gevolgd door een rewrite, if of set, loopt het uit op heap-memory. Klassieke overflow, gemist in reviews.

Zelfs top open-source software als Nginx ontsnapt niet aan zulke oeroude fouten. Miljoenen servers draaien erop. Groot bereik, groot risico.

Welke Versies Moeten Updaten

NGINX Plus: R32 tot R36? Pak R32 P6 of R36 P4.

Open Source: 1.0.0 tot 1.30.0 kwetsbaar. Ga naar 1.30.1 of 1.31.0.

Oude Rottigheid: 0.6.27 tot 0.9.7? Geen patch. Volledige upgrade verplicht.

Tijdelijke Fix Als Patchen Wacht

In een freeze? Pas je rewrite-regels aan:

Vervang unnamed captures ($1, $2) door named groups.

Voorbeeld:

# Riskant
rewrite ^/user/([0-9]+)$ /profile?id=$1 last;

# Veiliger (tijdelijk)
rewrite ^/user/(?<id>[0-9]+)$ /profile?id=$id last;

Dit blokkeert de trigger. Maar patch snel – dit is geen echte oplossing.

De Andere Drie Kwetsbaarheden

Naast NGINX Rift nog drie fixes:

  • CVE-2026-42946 (CVSS 8.3): Te veel geheugentoewijzing in SCGI/uWSGI – DoS-risico bij proxy-setup.
  • CVE-2026-40701 (CVSS 6.3): Use-after-free in SSL-module, bij ssl_verify_client of ssl_ocsp.
  • CVE-2026-42934 (CVSS 4.8): Out-of-bounds read in charset-module.

Minder urgent, maar pak ze mee in je volgende ronde.

Lessen Voor Je Infra-Security

Deze Rift herinnert ons aan harde feiten:

  1. Populair? Nog Steeds Hackbaar. Nginx overal, bug toch 18 jaar oud.
  2. Oud = Niet Veilig. Meer tijd voor foutenophoping.
  3. Langzaam Patchen = Zwak Plein. Eén server trekt alles mee.
  4. Monitor Hard. DoS slaat toe zonder waarschuwing.

Kort en Krachtig: Patch Nu

Nginx-gebruiker? Dit is een noodgeval. Simpele aanval, hoge impact – prioriteer boven alles.

Test in staging, rol uit in prod. Check ook je config op oude rewrite-regels en verouderde versies.

Blijf alert.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN