NGINX: DoS-Lücke wird angegriffen

Summary

Im ngx_http_rewrite_module von NGINX Open Source und NGINX Plus ermöglicht eine Schwachstelle nicht authentifizierten Angreifern aus dem Netz, die Server lahmzulegen. In Sonderfällen könnten sie sogar Schadcode einschleusen und ausführen. Erste Angriffe wurden bereits beobachtet. Weiterlesen nach der Anzeige Eine Sicherheitsmeldung von F5 erörtert die Sicherheitslücke. Die Schwachstelle im Rewrite-Modul lässt sich missbrauchen, wenn einer Rewrite-Direktive eine rewrite-, if- oder set-Direktive und eine Perl-kompatible Regular Expression folgt, die Ersetzung mit einem Ausdruck mit einem „?“ darin vornimmt. Dann können Angreifer aus dem Netz ohne vorherige Anmeldung mit manipulierten Paketen einen Heap-basierten Pufferüberlauf im NGINX-Worker-Prozess auslösen, der zu einem Neustart führt (Denial of Service, DoS). In dem unwahrscheinlichen Fall, dass die Address Space Layout Randomization (ASLR) deaktiviert ist, kann das sogar zur Ausführung von eingeschleustem Code führen (CVE-2026-42945, CVSS 8.1, Risiko „hoch“; CVSS4 9.2, Risiko „kritisch“). Die modernere Schwachstellenbewertung kommt zu einer höheren Risikoeinschätzung. Die Lücke ist gut abgehangen, der verantwortliche Programmcode hat die Volljährigkeitsgrenze überschritten: 18 Jahre hat er auf dem Buckel. Ein Proof-of-Concept-Exploit (PoC) demonstriert den Missbrauch der „NGINX Rift“-Schwachstelle. VulnCheck gibt auf LinkedIn an, inzwischen aktiven Missbrauch der Sicherheitslücke in freier Wildbahn beobachtet zu haben. Im Regelfall führt das zu einem DoS gegen verwundbare Server, von denen laut VulnCheck 5,7 Millionen im Internet erreichbar sind. Weitere Sicherheitslücken in NGINX OSS und Plus In NGINX OSS und Plus sind noch weitere Schwachstellen entdeckt worden, die jedoch eine deutlich geringere Risikoeinschätzung aufweisen. Im HTTP/3-QUIC-Modul gibt es eine Spoofing-Lücke (CVE-2026-40460, CVSS 6.5, Risiko „mittel“). ngx_http_scgi_module und ngx_http_uwsgi_module können exzessiv Speicher belegen oder Daten pre...