Üretici F5, Nginx güvenlik açıklarına karşı uyarıyor ve yazılım için plansız güncellemeler sağlıyor. Güvenlik açıkları ngx_http_v3_module, ngx_http_proxy_v2_module ve ngx_http_grpc_module'ün yanı sıra Nginx Gateway Fabric'i de etkiliyor.
Duyurudan sonra devamını okuyun
F5 genel bakışta güvenlik kusurlarını listeler. Nginx, HTTP/3 QUIC modülünü kullanacak şekilde yapılandırıldığında, kimliği doğrulanmamış ağ saldırganları, dikkatlice hazırlanmış paketleri kullanarak serbest kullanım sonrası kullanım durumuna neden olabilir ve bu genellikle yeniden başlatmayla sonuçlanır. Bu, adres alanı düzeni rastgeleleştirmesinin (ASLR) devre dışı bırakıldığı veya atlatılabileceği ortamlara kodun gizlice sokulmasına olanak tanır (CVE-2026-42530, CVSS4) 9.2risk”eleştirmen“). Güvenlik danışma belgesi, etkilenen sürümler olarak Nginx Açık Kaynak 1.31.0 ila 1.31.1'i listeler; 1.31.2 bir düzeltme içerir; Nginx Instant Manager 2.17.0-2.22.0 etkilenir (düzeltme yok), Gateway Fabric düzeltmeyi yalnızca 2.6.4'teki sürüm 2'de alır; Nginx Giriş Denetleyicisi 3.x'ten 5.x'e kadar tüm dallarda saldırıya açıktır ve herhangi bir hata almaz Değilse, tüm “dinleme” politikalarından “quic”i kaldırarak HTTP/3'ü devre dışı bırakmak yardımcı olur.
Nginx Plus'ta ve açık kaynakta, kimliği doğrulanmamış ağ saldırganları, hazırlanmış istekler göndererek yığın tabanlı arabellek taşmasını tetikleyebilir. Bu, ASLR (CVE-2026-42055, CVSS4) olmayan sistemlere kötü amaçlı kodların eklenmesine ve yürütülmesine olanak tanır. 9.2risk”eleştirmenF5, Nginx Plus, Açık Kaynak, Örnek Yöneticisi, Nginx için F5 WAF, Nginx App Koruma WAF, Nginx için F5 DoS, Nginx App Koruma DoS, Nginx Gateway Fabric ve çeşitli sürümlerdeki Nginx Giriş Denetleyicisini savunmasız olarak listeler. Yöneticiler mesajda özel olarak düzeltilen sürümleri bulacaktır.
En yüksek riskli güvenlik açıkları
İki güvenlik açığı özellikle Nginx Gateway Fabric'i etkiler. Bu, kimliği doğrulanmış saldırganların Nginx http içerik ilkelerini enjekte etmesine veya kötü niyetli olarak sunucuları çökertmesine olanak tanıyabilir (CVE-2026-11311, CVSS4) 8.6risk”yüksekEk olarak, kötü niyetli aktörler NginxProxy için Özel Kaynak Tanımlarını (CRD'ler) kötüye kullanabilir ve bunları yapılandırma ilkelerini enjekte etmek için kullanabilir (CVE-2026-50107, CVSS4) 8.6risk”yüksek“). F5, Gateway Fabric 2.6.4'te her ikisini de geliştirir.
Şu ana kadar boşluklardan hiçbirine vahşi doğada saldırılmamış gibi görünüyor. Ancak yöneticilerin güncellemeleri uygulamaktan çekinmemesi gerekir.
Sadece üç hafta önce F5, Nginx web sunucularındaki hizmet reddi ve kötü amaçlı kod güvenlik açıklarını giderdi.
Duyurudan sonra devamını okuyun
(Bilmiyorum)

Bir yanıt yazın