F5旗下的NGINX是全球使用量极高的反向代理服务器,NGINX也是全球互联网的关键基础设施,现在安全研究公司披露该软件出现的高危安全漏洞,该漏洞编号为CVE-2026-42945,NGINX脚本引擎中存在已经18年的堆缓冲区溢出问题。
攻击者只需要向暴露的NGINX服务器发送经过精心构造的HTTP请求即可远程拿下服务器,NGINX在全球网站服务器和反向代理核心领域占有率将近30%,因此这个漏洞可能会波及到海量的互联网服务。
影响NGINX本体及多个衍生产品:
该漏洞最初还是在2008年发布的NGINX0.6.27版中引入的,之后漏洞长期没有被发现并潜伏到现在,该漏洞影响NGINX0.6.27~1.30.0版,同时也影响F5公司向商业客户提供的多种NGINX衍生产品。受影响的衍生产品包括但不限于NGINXWAF、F5WAF、NGINXGatewayFabric、NGINXIngressController等。
而漏洞触发条件非常隐蔽,当NGINX配置文件中同时出现如下两种指令时漏洞就会被激活:
发现该漏洞的研究团队指出,漏洞根源在于ngx_http_rewrite_module的脚本引擎(ngx_http_script.c)中,当重写指令带问号时会设置持久的is_args标志,但在后续的set指令长度计算阶段,引擎使用的是新的清零的子引擎,这导致长度计算时跳过URL转义逻辑。
而实际复制阶段又使用主引擎,触发ngx_escape_uri函数对+、&等字符进行转义,缓冲区按未转义长度分配却写入膨胀后的内容,最终造成可控的堆缓冲区溢出。
F5已发布NGINX1.31.0/1.30.1版进行修复:
接到漏洞通报后F5很快就确认漏洞,在F5准备好修复程序后研究人员公开发布漏洞,所以当前使用NGINX及其衍生产品的用户都需要升级到不受影响的最新版,其中开源版的NGINX需升级到1.30.1版或1.31.0版,其他旧版本例如0.6.27~1.30.0版均受漏洞影响。
有关其他衍生产品的版本信息请查看F5安全公告:https://my.f5.com/manage/s/article/K000160932
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】