Έχει αποκαλυφθεί μια ευπάθεια υψηλής σοβαρότητας που επηρεάζει τόσο το NGINX Open Source όσο και το NGINX Plus. Παρακολούθηση επίσημα ως CVE-2026-32647, αυτό το ελάττωμα ασφαλείας έχει βασική βαθμολογία CVSS v4.0 8,5 και βαθμολογία CVSS v3.1 7,8.
Επιτρέπει στους τοπικούς, επαληθευμένους εισβολείς να ενεργοποιήσουν μια συνθήκη άρνησης υπηρεσίας (DoS) ή να εκτελέσουν ενδεχομένως αυθαίρετο κώδικα στο υποκείμενο σύστημα.
Η ευπάθεια υπάρχει εξ ολοκλήρου στο επίπεδο δεδομένων της εφαρμογής, επομένως δεν υπάρχει έκθεση σε επίπεδο ελέγχου. Η F5 αναγνώρισε επισήμως τους ερευνητές Xint Code και Pavel Kohout από την Aisle Research για την ανακάλυψη και τον συντονισμό της αποκάλυψης αυτής της ευπάθειας.
Ευπάθεια F5 NGINX Plus και ανοιχτού κώδικα
Ο πυρήνας αυτού του ζητήματος ασφαλείας προέρχεται από μια ευπάθεια ανάγνωσης εκτός ορίων, που ταξινομείται ως CWE-125. Αυτό το ελάττωμα καταστροφής της μνήμης είναι απομονωμένο μέσα στο ngx_http_mp4_module μονάδα μέτρησης.
Οι φορείς απειλών μπορούν να εκμεταλλευτούν αυτήν την αδυναμία αναγκάζοντας τον διακομιστή NGINX να επεξεργαστεί ένα ειδικά κατασκευασμένο αρχείο MP4.
Όταν η διαδικασία εργασίας NGINX αναλύει το κακόβουλο αρχείο πολυμέσων, ενεργοποιεί μια υπέρβαση ή υπορροή buffer στη μνήμη του εργαζόμενου.
Αυτός ο χειρισμός της μνήμης τερματίζει αμέσως τη διαδικασία εργασίας, διακόπτοντας προσωρινά την ενεργή κυκλοφορία δικτύου ενώ το σύστημα επιχειρεί να επανεκκινήσει τη διαδικασία.
Πέρα από μια απλή άρνηση υπηρεσίας, οι εισβολείς θα μπορούσαν θεωρητικά να αλυσιδώσουν αυτήν την καταστροφή της μνήμης για να επιτύχουν απομακρυσμένη εκτέλεση κώδικα στον κεντρικό υπολογιστή.
Για να είναι ένα σύστημα ευάλωτο, το στιγμιότυπο NGINX πρέπει να κατασκευαστεί με το ngx_http_mp4_module και χρησιμοποιήστε ενεργά την οδηγία mp4 στο αρχείο ρυθμίσεών της. Το NGINX Plus περιλαμβάνει αυτό το module αυτόματα.
Αντίθετα, οι διαχειριστές Ανοιχτού Κώδικα NGINX πρέπει να έχουν μεταγλωττίσει ρητά και να έχουν ενεργοποιήσει τη λειτουργική μονάδα να βρίσκεται σε κίνδυνο. Η F5 κυκλοφόρησε ενημερώσεις λογισμικού για την αντιμετώπιση αυτής της ευπάθειας σε όλους τους κλάδους προϊόντων που επηρεάζονται.
Άλλα προϊόντα F5, συμπεριλαμβανομένων των BIG-IP, BIG-IQ, F5OS και F5 Distributed Cloud, παραμένουν εντελώς ανεπηρέαστα από αυτό το ελάττωμα. Οι εκδόσεις NGINX Plus R32 έως R36 είναι ευάλωτες, με διορθώσεις διαθέσιμες σε R36 P3, R35 P2 και R32 P5.
Οι εκδόσεις ανοιχτού κώδικα NGINX 1.1.19 έως 1.29.6 επηρεάζονται, με ενημερώσεις κώδικα που έχουν κυκλοφορήσει στις εκδόσεις 1.28.3 και 1.29.7.
Μετριασμούς
Συνιστάται ανεπιφύλακτα στις ομάδες ασφαλείας να ενημερώσουν αμέσως τις αναπτύξεις NGINX στις πιο πρόσφατες επιδιορθωμένες εκδόσεις.
Εάν η άμεση επιδιόρθωση πέσει έξω από το τρέχον παράθυρο συντήρησης, Το F5 συνιστά την εφαρμογή μετριασμού που βασίζονται στη διαμόρφωση για να εξασφαλίσετε την υποδομή σας.
Οι διαχειριστές μπορούν να εξουδετερώσουν την απειλή απενεργοποιώντας προσωρινά τη μονάδα ροής MP4. Αυτό απαιτεί τη σύνδεση στο κεντρικό σύστημα NGINX και την επεξεργασία των πρωταρχικών αρχείων διαμόρφωσης, που συνήθως βρίσκονται στο /etc/nginx τηλεφωνικός κατάλογος.
Οι μηχανικοί ασφαλείας πρέπει να εντοπίσουν όλα τα μπλοκ διακομιστή και τοποθεσίας που χρησιμοποιούν την οδηγία mp4 και να τα σχολιάσουν χρησιμοποιώντας έναν χαρακτήρα κατακερματισμού.
Μετά την αποθήκευση της τροποποιημένης διαμόρφωσης, οι διαχειριστές θα πρέπει να επικυρώσουν τη σύνταξη χρησιμοποιώντας το sudo nginx -t εντολή πριν φορτώσετε ξανά με χάρη την υπηρεσία.
Ενώ αυτός ο μετριασμός απενεργοποιεί την υποστήριξη ψευδο-streaming από την πλευρά του διακομιστή για αρχεία MP4, καταργεί αποτελεσματικά το διάνυσμα επίθεσης. Ως πρόσθετο μέτρο άμυνας σε βάθος, οι οργανισμοί θα πρέπει να περιορίζουν τη δημοσίευση αρχείων ήχου και βίντεο μόνο σε αξιόπιστους χρήστες.
Ο περιορισμός των δικαιωμάτων δημοσίευσης πολυμέσων αποτρέπει τους μη εξουσιοδοτημένους φορείς από το να εισάγουν το κατασκευασμένο ωφέλιμο φορτίο MP4 στο περιβάλλον διακομιστή.
