Support dygnet runt
Vanliga frågor
 Instrumentpanel
Kontosaldo:    
20 år med Nginx-sårbarheter: Därför måste du patcha NGINX Rift nu

20 år med Nginx-sårbarheter: Därför måste du patcha NGINX Rift nu

Maj 14, 2026 nginx security cve-2026-42945 nginx rift web server vulnerabilities infrastructure security buffer overflow rewrite module zero-day response production security

Två årtionden med Nginx-sårbarheter: Patcha NGINX Rift nu

F5 har släppt patchar för fyra allvarliga luckor i Nginx. Den värsta, CVE-2026-42945 – kallad NGINX Rift av upptäckarna på depthfirst – kräver omedelbar action från alla som kör webbservrar.

En gammal bugg med enorm potential

Denna sårbarhet gömmer sig i rewrite-modulen. Den dök upp redan 2008 i version 0.6.27. Tänk dig: före smartphones, Docker och Nginx-eran.

En angripare skickar en enda HTTP-förfrågan. Inga lösenord eller komplicerade kedjor behövs. Utan ASLR kör de kod på din server. Med ASLR? Stabil DoS – worker-processer kraschar i loop.

CVSS-poäng: 9.2. Nästan max.

Hur kunde det här hända?

Rewrite-modulen använder PCRE för URL-mönster. Unnamed captures som $1 eller $2, följt av ny rewrite, if eller set, orsakar heap overflow. Klassisk bugg som undslapp granskning i 18 år.

Nginx sitter på miljontals servrar. Lång livslängd betyder stor risk vid exploat.

Vem måste agera?

NGINX Plus: R32–R36? Uppdatera till R32 P6 eller R36 P4.

Open Source: 1.0.0–1.30.0 drabbade. Gå till 1.30.1 eller 1.31.0 direkt.

Äldre versioner: 0.6.27–0.9.7 får inga patchar. Full uppgradering obligatorisk.

Snabb workaround om du inte kan patcha

Byt unnamed captures mot named i rewrite-regler. Undvik $1 – använd $(?<namn>...) istället.

Exempel:

# Riskabelt
rewrite ^/user/([0-9]+)$ /profile?id=$1 last;

# Bättre tillfälligt
rewrite ^/user/(?<id>[0-9]+)$ /profile?id=$id last;

Det stoppar triggen. Men patcha snarast – det här är ingen permanent fix.

De andra tre CVE:erna

F5 fixade även:

  • CVE-2026-42946 (CVSS 8.3): Minne läcker i SCGI/uWSGI. DoS-risk.
  • CVE-2026-40701 (CVSS 6.3): Use-after-free i SSL-modulen vid specifika inställningar.
  • CVE-2026-42934 (CVSS 4.8): Out-of-bounds i charset-modulen.

Inte lika akuta, men fixa vid nästa underhåll.

Lärdomar för din infra

  1. Populärt ≠ säkert. Nginx granskas hårt, men buggar överlever.
  2. Gammal kod samlar damm. Inte "testad" – bara gammal.
  3. En opatchad instans räcker. Kommer åt hela setupen.
  4. Övervaka alltid. DoS slår till direkt.

Slutsats

Kör du Nginx? Patcha idag. NGINX Rift kombinerar enkel attack med kritisk effekt. Testa i staging, men rulla ut i prod snabbt.

Kolla dina rewrite-regler och versioner nu. Bättre safe än sorry.

Read in other languages:

RU BG EL CS UZ TR FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN