F5 behebt kritische Sicherheitsanfälligkeit in NGINX, die 18 Jahre lang unbemerkt blieb
Ein Buffer Overflow im Rewriting-Modul von NGINX, das seit 2008 im Code vorhanden ist, führte dazu, dass F5 einen dringenden Patch veröffentlichte, nachdem VulnCheck Versuche zur Ausnutzung gegen Honeypots festgestellt hatte. Die Sicherheitsanfälligkeit erhielt eine CVSS-Bewertung von 9.2 und betrifft Versionen von 0.6.27 bis 1.30.0.
F5 behebt kritische Sicherheitsanfälligkeit in NGINX, die 18 Jahre lang unbemerkt blieb
F5 hat einen dringenden Patch für eine kritische Sicherheitsanfälligkeit in NGINX veröffentlicht, einem Webserver und Reverse Proxy, der in einem erheblichen Teil der öffentlichen und internen Unternehmensinfrastruktur eingesetzt wird. Die Sicherheitsanfälligkeit ist als CVE-2026-42945 klassifiziert und erhielt eine CVSS-Bewertung von 9.2. Es handelt sich um einen Buffer Overflow im Modul ngx_http_rewrite_module, das seit 2008 im Code vorhanden ist und alle Versionen von 0.6.27 bis 1.30.0 betrifft, sowohl in der Open-Source- als auch in der kommerziellen Version NGINX Plus.
Die Entdeckung wurde der Firma depthfirst zugeschrieben, die KI-Modelle zur Quellcode-Auditierung einsetzt. Die öffentliche Bekanntgabe erfolgte am 17. Mai, und innerhalb weniger Tage registrierte VulnCheck Versuche zur Ausnutzung gegen Honeypots in ihrem Telemetrie-Netzwerk.
RCE ist schwierig, Prozessabsturz ist einfach
Das Potenzial für Remote Code Execution (RCE) ist vorhanden, jedoch nicht trivial. Der Forscher Kevin Beaumont fasste die Situation zusammen: "Um zu RCE zu gelangen, muss auch ASLR auf der Maschine deaktiviert sein." Die Entwickler von AlmaLinux schlossen sich an: "Einen Heap Overflow in vertrauenswürdige Codeausführung umzuwandeln, ist in der Standardkonfiguration nicht trivial." Das unmittelbare Risiko besteht daher in einer Denial-of-Service-Attacke durch wiederholtes Abstürzen der Worker-Prozesse, mit opportunistischen Fenstern zur Codeausführung, solange die Speicheradressierung nicht aktiv ist.
Die Kombination aus enormer Angriffsfläche, bereits beobachteten Ausnutzungen und verfügbarem Patch macht das Szenario zur höchsten Priorität für Sicherheitsteams. Wer heterogene NGINX-Umgebungen verwaltet, sei es direkt oder eingebettet in Linux-Distributionen oder Containern, hat ein kurzes Zeitfenster, um Versionen zu inventarisieren und das Update von F5 anzuwenden.