Kritik Nginx güvenlik açıkları için F5 planlanmamış yamalar

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

Üretici F5, Nginx güvenlik açıklarına karşı uyarıyor ve yazılım için plansız güncellemeler sağlıyor. Güvenlik açıkları ngx_http_v3_module, ngx_http_proxy_v2_module ve ngx_http_grpc_module'ün yanı sıra Nginx Gateway Fabric'i de etkiliyor.

Duyurudan sonra devamını okuyun

F5 genel bakışta güvenlik kusurlarını listeler. Nginx, HTTP/3 QUIC modülünü kullanacak şekilde yapılandırıldığında, kimliği doğrulanmamış ağ saldırganları, dikkatlice hazırlanmış paketleri kullanarak serbest kullanım sonrası kullanım durumuna neden olabilir ve bu genellikle yeniden başlatmayla sonuçlanır. Bu, adres alanı düzeni rastgeleleştirmesinin (ASLR) devre dışı bırakıldığı veya atlatılabileceği ortamlara kodun gizlice sokulmasına olanak tanır (CVE-2026-42530, CVSS4) 9.2risk”eleştirmen“). Güvenlik danışma belgesi, etkilenen sürümler olarak Nginx Açık Kaynak 1.31.0 ila 1.31.1'i listeler; 1.31.2 bir düzeltme içerir; Nginx Instant Manager 2.17.0-2.22.0 etkilenir (düzeltme yok), Gateway Fabric düzeltmeyi yalnızca 2.6.4'teki sürüm 2'de alır; Nginx Giriş Denetleyicisi 3.x'ten 5.x'e kadar tüm dallarda saldırıya açıktır ve herhangi bir hata almaz Değilse, tüm “dinleme” politikalarından “quic”i kaldırarak HTTP/3'ü devre dışı bırakmak yardımcı olur.

Nginx Plus'ta ve açık kaynakta, kimliği doğrulanmamış ağ saldırganları, hazırlanmış istekler göndererek yığın tabanlı arabellek taşmasını tetikleyebilir. Bu, ASLR (CVE-2026-42055, CVSS4) olmayan sistemlere kötü amaçlı kodların eklenmesine ve yürütülmesine olanak tanır. 9.2risk”eleştirmenF5, Nginx Plus, Açık Kaynak, Örnek Yöneticisi, Nginx için F5 WAF, Nginx App Koruma WAF, Nginx için F5 DoS, Nginx App Koruma DoS, Nginx Gateway Fabric ve çeşitli sürümlerdeki Nginx Giriş Denetleyicisini savunmasız olarak listeler. Yöneticiler mesajda özel olarak düzeltilen sürümleri bulacaktır.

İki güvenlik açığı özellikle Nginx Gateway Fabric'i etkiler. Bu, kimliği doğrulanmış saldırganların Nginx http içerik ilkelerini enjekte etmesine veya kötü niyetli olarak sunucuları çökertmesine olanak tanıyabilir (CVE-2026-11311, CVSS4) 8.6risk”yüksekEk olarak, kötü niyetli aktörler NginxProxy için Özel Kaynak Tanımlarını (CRD'ler) kötüye kullanabilir ve bunları yapılandırma ilkelerini enjekte etmek için kullanabilir (CVE-2026-50107, CVSS4) 8.6risk”yüksek“). F5, Gateway Fabric 2.6.4'te her ikisini de geliştirir.

Şu ana kadar boşluklardan hiçbirine vahşi doğada saldırılmamış gibi görünüyor. Ancak yöneticilerin güncellemeleri uygulamaktan çekinmemesi gerekir.

Sadece üç hafta önce F5, Nginx web sunucularındaki hizmet reddi ve kötü amaçlı kod güvenlik açıklarını giderdi.

Duyurudan sonra devamını okuyun


(Bilmiyorum)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir