Jetzt patchen: Nginx-Webserver durch kritische Lücken angreifbar

Der Netzwerkspezialist F5 hat Notfallupdates für die weitverbreitete Webserver-Software Nginx sowie mehrere darauf basierende Produkte veröffentlicht(öffnet im neuen Fenster). Damit wurden damit unter anderem zwei kritische Sicherheitslücken gepatcht, mit denen Angreifer Ausfälle herbeiführen und je nach Konfiguration sogar Schadcode einschleusen können. Admins sollten ihre Nginx-Server also zügig aktualisieren.

Die besagten Schwachstellen sind als CVE-2026-42530(öffnet im neuen Fenster) und CVE-2026-42055(öffnet im neuen Fenster) registriert und erreichen jeweils einen kritischen Schweregrad (CVSS: 9,2). Die Ursache der ersten Lücke liegt im Modul ngx_http_v3_module, bei der zweiten sind es mit ngx_http_proxy_v2_module und ngx_http_grpc_module gleich zwei anfällige Module.

Beide Schwachstellen lassen sich ausnutzen, indem Angreifer speziell gestaltete Datenpakete an ein Zielsystem übermitteln. Dafür ist vorab keinerlei Authentifizierung erforderlich. CVE-2026-42530 ist den Angaben zufolge ein Use-after-free-Bug, wohingegen mit CVE-2026-42055 ein Heap-Pufferüberlauf ausgelöst werden kann.

Damit sich die beiden Lücken erfolgreich ausnutzen lassen, müssen laut F5 Bedingungen erfüllt sein, die "außerhalb der Kontrolle des Angreifers liegen". Nähere Details dazu sind den Sicherheitsmeldungen(öffnet im neuen Fenster) des Herstellers zu entnehmen(öffnet im neuen Fenster). Die Folgen erfolgreicher Angriffe sind aber bei beiden Lücken identisch: Es kommt zu einem Neustart des Nginx-Worker-Prozesses und damit zu einem temporären Ausfall.

Sofern die Sicherheitsfunktion ASLR(öffnet im neuen Fenster) (Address Space Layout Randomization) deaktiviert ist oder Angreifer einen Weg finden, diese zu umgehen, soll auf anfälligen Systemen auch eine Schadcodeausführung möglich sein. Standardmäßig ist ASLR auf den meisten Systemen aber aktiv, so dass Angreifer in der Regel nur Denial-of-Service-Zustände herbeiführen können.

Damit weisen die beiden Schwachstellen ähnliche Eigenschaften auf wie zwei schon im Mai gepatchte Nginx-Lücken. Eine davon, bekannt unter dem Namen Nginx Rift, wurde bereits aktiv ausgenutzt.

Bei den zuletzt geschlossenen Lücken gibt es noch keine Hinweise auf entsprechende Attacken. Ein Update auf die Nginx-Versionen 1.31.2 oder 1.30.3 bietet Schutz.