Üretici F5, Nginx'teki güvenlik açıklarına karşı uyarıyor ve yazılım için plansız güncellemeler sağlıyor. Güvenlik açıkları ngx_http_v3_module, ngx_http_proxy_v2_module ve ngx_http_grpc_module'ün yanı sıra Nginx Gateway Fabric'i de etkiliyor.
Reklamdan sonra devamını okuyun
F5, genel bakışta güvenlik sızıntılarını listeler. Nginx, HTTP/3 QUIC modülünü kullanacak şekilde yapılandırıldığında, ağdaki kimliği doğrulanmamış saldırganlar, dikkatlice hazırlanmış paketleri kullanarak serbest kullanım sonrası kullanım durumunu tetikleyebilir ve bu genellikle yeniden başlatmayla sonuçlanır. Bu, Adres Alanı Düzeni Rastgeleleştirmesinin (ASLR) devre dışı olduğu veya bunu atlayabilecekleri ortamlarda kod kaçakçılığına izin verir (CVE-2026-42530, CVSS4) 9.2risk”kritikGüvenlik bildirimi etkilenen sürümler olarak Nginx Açık Kaynak 1.31.0 ila 1.31.1'i listeliyor; 1.31.2 bir düzeltme içeriyor; Nginx Instant Manager 2.17.0-2.22.0 etkileniyor (düzeltme yok), Gateway Fabric yalnızca 2.6.4'teki sürüm 2'deki düzeltmeyi alıyor; Nginx Giriş Denetleyicisi 3.x'ten 5.x'e kadar tüm dallarda saldırıya açık ve herhangi bir Hata düzeltmesi almıyor. Aksi takdirde, tüm “dinleme” politikalarından “quic”i kaldırarak HTTP/3'ü devre dışı bırakmak yardımcı olur.
Nginx Plus'ta ve açık kaynakta, kimliği doğrulanmamış ağ saldırganları, hazırlanmış istekler göndererek yığın tabanlı arabellek taşmasını tetikleyebilir. Bu, ASLR olmayan sistemlere kötü amaçlı kodların eklenmesine ve yürütülmesine olanak tanır (CVE-2026-42055, CVSS4) 9.2risk”kritikF5, çeşitli sürümlerdeki Nginx Plus, Açık Kaynak, Örnek Yöneticisi, Nginx için F5 WAF, Nginx App Koruma WAF, Nginx için F5 DoS, Nginx App Koruma DoS, Nginx Gateway Fabric ve Nginx Giriş Denetleyicisini savunmasız olarak listeler. Yöneticiler mesajda özel olarak düzeltilen sürümleri bulacaktır.
Daha yüksek riskli güvenlik açıkları
İki güvenlik açığı özellikle Nginx Gateway Fabric'i etkiliyor. Bu, kimliği doğrulanmış saldırganların Nginx http içerik ilkelerini enjekte etmesine veya sunucuları kötü niyetli olarak engellemesine olanak tanıyabilir (CVE-2026-11311, CVSS4) 8.6risk”yüksekAyrıca, kötü niyetli kişiler NginxProxy için Özel Kaynak Tanımlarını (CRD) kötüye kullanabilir ve bunları yapılandırma ilkelerini enjekte etmek için kullanabilir (CVE-2026-50107, CVSS4) 8.6risk”yüksekF5, Gateway Fabric 2.6.4'te her ikisini de geliştiriyor.
Şu ana kadar boşluklardan hiçbiri saldırı altında görünmüyor. Yöneticiler yine de güncellemeleri uygulamaktan çekinmemelidir.
Sadece üç hafta önce F5, Nginx web sunucularındaki hizmet reddi ve kötü amaçlı kod güvenlik açıklarını kapattı.
Reklamdan sonra devamını okuyun
(DMK)
Bir yanıt yazın