Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Webserver gefährdet: 18 Jahre alte Sicherheitslücke in Nginx entdeckt

Nginx-Webserver sollen sich durch eine seit 2008 präsente Lücke zum Absturz bringen lassen. Manchmal ist wohl auch eine Schadcodeausführung möglich.
/ Marc Stöckel
Kommentare Auf Google folgen (öffnet im neuen Fenster)
Admins sollten zeitnah ihre Nginx-Instanzen aktualisieren. (Bild: Github / Foto)
Admins sollten zeitnah ihre Nginx-Instanzen aktualisieren. Bild: Github / Foto

Sicherheitsforscher von Depthfirst haben eine kritische Sicherheitslücke in der weit verbreiteten und quelloffenen Webserver-Software Nginx aufgedeckt. Angreifer können anfällige Server damit durch das Senden speziell gestalteter HTTP-Anfragen vorübergehend unerreichbar machen und unter bestimmten Umständen sogar Schadcode zur Ausführung bringen. Ein Patch ist inzwischen verfügbar und sollte zeitnah eingespielt werden.

Die auch als Nginx Rift(öffnet im neuen Fenster) bezeichnete Lücke ist als CVE-2026-42945(öffnet im neuen Fenster) registriert und erreicht einen kritischen Schweregrad (CVSS: 9,2). Ursache ist laut Beschreibung ein bei bestimmten Konfigurationen möglicher Heap-Pufferüberlauf im Modul ngx_http_rewrite_module(öffnet im neuen Fenster), dessen Ausnutzung einen Neustart des Nginx-Worker-Prozesses zur Folge hat.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Das allein reicht aus, um den jeweiligen Webserver temporär, bei Bedarf aber auch wiederholt, unerreichbar zu machen – ein DoS-Angriff (Denial of Service) also. Auf Systemen, auf denen die Sicherheitsfunktion ASLR (Address Space Layout Randomization(öffnet im neuen Fenster)) deaktiviert ist, soll auch eine Schadcodeausführung möglich sein. Eine solche Konfiguration soll allerdings eher selten anzutreffen sein, da ASLR wohl standardmäßig aktiv ist.

Patches sind verfügbar

Die Maintainer von Almalinux geben in einem Advisory zu CVE-2026-42945(öffnet im neuen Fenster) entsprechend Entwarnung. Ein DoS-Angriff sei zwar in der Standardkonfiguration anhand einer einzigen HTTP-Anfrage einfach und zuverlässig durchführbar, bezüglich der Schadcodeausführung sehe das jedoch anders aus. Zudem sei nicht zu erwarten, dass sich einfach ein zuverlässiger Exploit erstellen lasse, der auch mit aktiviertem ASLR funktioniere. Gänzlich ausschließen lasse sich aber auch das nicht.

Wie die Entdecker von CVE-2026-42945 in einem Blogbeitrag(öffnet im neuen Fenster) schildern, besteht die Lücke seit der Nginx-Version 0.6.27 und damit schon seit 2008. Als anfällig gelten alle Versionen bis einschließlich 1.30.0. Ein Patch wurde vor wenigen Tagen mit den Versionen 1.30.1 und 1.31.0 bereitgestellt(öffnet im neuen Fenster).

Neben dem Nginx-Webserver sind noch weitere davon abhängige Nginx-Produkte betroffen. Eine Liste aller Produkte sowie die jeweiligen Versionen sind in einem Advisory des Entwicklers F5(öffnet im neuen Fenster) zu finden. Darin werden auch Änderungen an Rewrite-Definitionen vorgeschlagen, die als alternative Schutzmaßnahmen dienen können, sofern ein System nicht unmittelbar gepatcht werden kann.

Zur Startseite Kommentare

Relevante Themen

Updates & PatchesSoftwareSecuritySicherheitslückeDatensicherheitServerHackerNginx