Sió-Informatika Rendszerház

HÍREK

F5 sürgősségi biztonsági frissítést adott ki kritikus NGINX sérülékenységekre

Kritikus NGINX sérülékenységeket javított az F5 sürgősségi frissítése

Az F5 sürgős biztonsági frissítéseket adott ki két kritikus NGINX sérülékenység javítására.

A hibák sikeres kihasználása bizonyos feltételek mellett lehetővé teheti, hogy távoli támadók tetszőleges kódot futtassanak az érintett rendszereken.

A sérülékenységek azonosítói:

  • CVE-2026-42530
  • CVE-2026-42055

Mindkét hiba 9.2-es CVSS v4 pontszámot kapott, vagyis kritikus súlyosságú sérülékenységekről van szó. A hibák távolról, hitelesítés nélkül is kihasználhatók lehetnek, ezért különösen nagy kockázatot jelentenek internet felől elérhető infrastruktúrák esetén.

HTTP/3 és QUIC implementációt érintő sérülékenység

A CVE-2026-42530 az NGINX HTTP/3 támogatásáért felelős ngx_http_v3_module komponenst érinti.

A hiba egy use-after-free típusú memóriakezelési sérülékenység. Ez akkor fordul elő, amikor egy program olyan memóriaterületre hivatkozik, amelyet korábban már felszabadított.

Sikeres kihasználás esetén ez:

  • alkalmazásösszeomláshoz,
  • memóriahibához,
  • vagy bizonyos feltételek mellett tetszőleges kódfuttatáshoz vezethet.

A támadó egy speciálisan kialakított HTTP/3 munkamenettel idézheti elő a hibát, amely a QPACK encoder stream kezelését manipulálja. Ez az NGINX-et arra késztetheti, hogy korábban felszabadított memóriaterületet nyisson meg és használjon újra.

A támadáshoz nincs szükség hitelesítésre, de csak azok a rendszerek érintettek, ahol a HTTP/3 funkció engedélyezve van.

Miért fontos a HTTP/3?

A HTTP/3 az elmúlt években egyre gyorsabban terjedt el, különösen:

  • felhőszolgáltatóknál,
  • CDN rendszereknél,
  • SaaS platformoknál,
  • nagy forgalmú weboldalaknál,
  • modern API-kiszolgálóknál.

A HTTP/3 a QUIC protokollra épül, és célja a gyorsabb kapcsolatfelépítés, az alacsonyabb késleltetés és a stabilabb működés gyengébb hálózati környezetben.

Ugyanakkor az újabb protokollok összetettebb implementációt igényelnek, ami új támadási felületet is jelent. A most javított kritikus NGINX hiba is azt mutatja, hogy a gyors technológiai bevezetés biztonsági kockázatokkal járhat.

HTTP/2 proxyzást és gRPC szolgáltatásokat érintő hiba

A második sérülékenység, a CVE-2026-42055, heap-based buffer overflow típusú hiba.

Ez az alábbi NGINX komponenseket érinti:

  • ngx_http_proxy_v2_module
  • ngx_http_grpc_module

A sérülékenység olyan rendszereken válhat kihasználhatóvá, ahol az NGINX HTTP/2 forgalmat proxyz, vagy gRPC kommunikációt kezel.

A kockázat akkor áll fenn, ha több konfigurációs feltétel egyszerre teljesül:

  • a proxy_http_version HTTP/2-re van állítva, vagy a grpc_pass engedélyezett;
  • az ignore_invalid_headers direktíva off értéken van;
  • a large_client_header_buffers mérete meghaladja a 2 MB-ot.

Ilyen környezetben egy speciálisan kialakított kérés heap buffer overflow állapotot idézhet elő, ami tetszőleges kódfuttatáshoz vezethet.

Miért veszélyes a heap overflow?

A heap buffer overflow sérülékenységek a legveszélyesebb memóriakezelési hibák közé tartoznak.

Sikeres kihasználás esetén a támadó:

  • felülírhat memóriaszerkezeteket,
  • megváltoztathatja a program végrehajtási útvonalát,
  • rosszindulatú kódot futtathat,
  • vagy tartós hozzáférést építhet ki.

A modern rendszerekben az ASLR és más memóriavédelmi technológiák csökkentik a kockázatot, de nem zárják ki teljesen. A támadók gyakran több sérülékenységet láncolnak össze a védelem megkerülésére.

Érintett termékek

A CVE-2026-42530 több NGINX-alapú terméket is érint, többek között:

  • NGINX Open Source 1.31.0–1.31.1
  • NGINX Gateway Fabric 2.0.0–2.6.3
  • NGINX Gateway Fabric 1.3.0–1.6.2
  • NGINX Instance Manager 2.17.0–2.22.0
  • NGINX Ingress Controller 5.0.0–5.5.0
  • NGINX Ingress Controller 4.0.0–4.0.1
  • NGINX Ingress Controller 3.5.0–3.7.2

A javított verziók közé tartozik:

  • NGINX Open Source 1.31.2
  • NGINX Gateway Fabric 2.6.4

A CVE-2026-42055 még szélesebb termékkört érinthet, köztük:

  • NGINX Plus
  • NGINX Open Source
  • NGINX Instance Manager
  • NGINX App Protect WAF
  • F5 WAF for NGINX
  • F5 DoS for NGINX
  • NGINX App Protect DoS
  • NGINX Gateway Fabric
  • NGINX Ingress Controller

A javított verziók között szerepel:

  • NGINX Open Source 1.31.2
  • NGINX Open Source 1.30.3
  • NGINX Plus 37.0.2.1
  • NGINX Plus R36 P6
  • NGINX Gateway Fabric 2.6.4

Kubernetes és felhős környezetek fokozott kockázatban

A sérülékenységek különösen fontosak Kubernetes és cloud-native környezetekben.

Az NGINX az egyik leggyakrabban használt ingress technológia, amely külső forgalmat irányít belső szolgáltatásokhoz.

Egy NGINX Ingress Controller kompromittálása lehetővé teheti, hogy a támadó:

  • alkalmazásforgalmat figyeljen meg,
  • API-kommunikációt manipuláljon,
  • backend szolgáltatásokhoz férjen hozzá,
  • oldalirányú mozgást indítson,
  • vagy tartós hozzáférést építsen ki a felhős infrastruktúrában.

Mivel az NGINX gyakran a hálózat peremén működik, az ilyen sérülékenységek kiemelt javítási prioritást igényelnek.

Ideiglenes mitigációk

Az F5 átmeneti védelmi javaslatokat is közzétett azoknak a szervezeteknek, amelyek nem tudják azonnal telepíteni a frissítéseket.

A CVE-2026-42530 kockázatának csökkentésére:

  • ahol lehetséges, tiltsák le a HTTP/3 funkciót.

A CVE-2026-42055 mérséklésére:

  • távolítsák el az ignore_invalid_headers off beállítást;
  • csökkentsék a large_client_header_buffers értékét 2 MB alá.

Ezek az intézkedések csökkenthetik a kockázatot, de nem helyettesítik a javítás telepítését.

Egyelőre nincs ismert aktív kihasználás

Az F5 jelenleg nem jelezte, hogy a két sérülékenységet aktívan kihasználnák.

Ugyanakkor a nyilvános közzététel után a támadók gyakran rövid időn belül elkezdik elemezni a javításokat, majd működő exploitokat készítenek.

A figyelmeztetés különösen fontos a közelmúltbeli NGINX Rift sérülékenység miatt, amelyet a nyilvánosságra hozatal után néhány napon belül már aktív támadásokban használtak ki.

Memóriabiztonsági problémák az internetes infrastruktúrában

A most javított hibák ismét rámutatnak arra, hogy a kritikus internetes infrastruktúrákban továbbra is komoly problémát jelentenek a memóriakezelési sérülékenységek.

A két hiba klasszikus memóriabiztonsági kategóriába tartozik:

  • use-after-free
  • heap buffer overflow

Ezek évtizedek óta a legsúlyosabb sérülékenységtípusok közé tartoznak, mert megfelelő feltételek mellett távoli kódfuttatáshoz és teljes rendszerkompromittáláshoz vezethetnek.

Azonnali frissítés javasolt

A szervezeteknek javasolt haladéktalanul ellenőrizniük, hogy használnak-e érintett NGINX verziókat vagy NGINX-alapú termékeket.

Kiemelt prioritást kell adni azoknak a rendszereknek, amelyek:

  • internet felől elérhetők,
  • HTTP/3-at használnak,
  • HTTP/2 proxyzást végeznek,
  • gRPC szolgáltatásokat kezelnek,
  • Kubernetes ingress controllerként működnek,
  • vagy API gateway szerepet töltenek be.

A javítások mielőbbi telepítése különösen fontos, mert az NGINX világszerte az egyik legelterjedtebb webszerver és reverse proxy megoldás.

Összegzés

Az F5 két kritikus NGINX sérülékenységet javított, amelyek bizonyos konfigurációk mellett távoli, hitelesítés nélküli kódfuttatást tehetnek lehetővé.

Bár jelenleg nincs ismert aktív kihasználás, a hibák súlyossága, az NGINX széles körű elterjedtsége és a peremhálózati szerepe miatt a szervezeteknek sürgősen fel kell mérniük érintettségüket.

A HTTP/3, HTTP/2 proxyzás, gRPC és Kubernetes ingress környezetek különösen nagy figyelmet igényelnek.

Keresés

Népszerű bejegyzések

Kategóriák

Arhívum

Kövess minket

Az oldal tartalma nem másolható!