Компания F5 выпустила внеплановые обновления безопасности для устранения нескольких уязвимостей веб-сервера Nginx, в том числе двух уязвимостей критической степени серьезности, которые могут позволить злоумышленникам выполнить код на уязвимых системах.
Две критические уязвимости были обнаружены в модулях ngx_http_v3_module (CVE-2026-42530), ngx_http_proxy_v2_module и ngx_http_grpc_module (CVE-2026-42055), и могут быть использованы неавторизованными удалёнными злоумышленниками для организации атаки типа «отказ в обслуживании» (DoS) или выполнения кода на системах NGINX с нестандартными настройками.
Успешная эксплуатация уязвимостей приводит к использованию памяти после освобождения (use-after-free) или переполнению буфера в куче рабочего процесса NGINX, что вызывает его перезапуск. В обоих случаях злоумышленники также могут «выполнить код на системах с отключенной функцией рандомизации расположения адресного пространства (ASLR) или в случае, если злоумышленнику удается обойти ASLR».
Компания F5 выпустила исправления безопасности для ряда программных продуктов NGINX, затронутых этими двумя уязвимостями, включая NGINX Plus и NGINX Open Source, NGINX Gateway Fabric и NGINX Instance Manager.
Администраторы, которые не могут сразу установить обновления безопасности, могут снизить риск уязвимости CVE-2026-42530, отключив HTTP/3 (удалив quic из всех директив listen), а уязвимость CVE-2026-42055 — путем удаления директивы ignore_invalid_headers off из конфигурации и уменьшения значения директивы large_client_header_buffers до менее 2 мегабайт.
Компания также устранила две уязвимости NGINX Gateway Fabric высокой степени опасности, отслеживаемые под номерами CVE-2026-11311 и CVE-2026-50107, которые могут быть использованы авторизованными злоумышленниками для внедрения произвольных директив конфигурации NGINX.
Компания F5 сообщила, что в августе 2025 года злоумышленники проникли в её системы и похитили нераскрытые уязвимости BIG-IP и исходный код.
За последние несколько лет Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) отметило 7 уязвимостей F5 как активно эксплуатируемые, причем четыре из них стали целью атак с использованием программ-вымогателей.
Комментарии (0)