Vulnerabilidades atingem módulos HTTP/3 e proxy do NGINX Open Source e afetam também outros produtos da linha, como NGINX Plus e Ingress Controller.
A F5 lançou atualizações de segurança nesta semana para corrigir duas vulnerabilidades críticas no NGINX Open Source. As falhas podem permitir execução remota de código em sistemas vulneráveis, sem necessidade de autenticação por parte do invasor.
As duas vulnerabilidades afetam diferentes módulos do NGINX e receberam nota 9.2 na escala CVSS v4, considerada crítica. A primeira falha atinge o módulo ngx_http_v3_module, ela é classificada como use-after-free. Esse um tipo de bug que ocorre quando um programa tenta acessar uma área de memória que já foi liberada.
O problema acontece quando o NGINX Open Source está configurado para usar o módulo QUIC do protocolo HTTP/3. Um atacante remoto pode explorar a falha reabrindo um stream do encoder QPACK por meio de uma sessão HTTP/3 especialmente criada para esse fim.
A exploração só funciona em sistemas com o ASLR desativado. O ASLR é um mecanismo de segurança que randomiza o endereçamento da memória do sistema, dificultando ataques desse tipo. Isso porque, mesmo com o ASLR ativo, um invasor habilidoso ainda pode encontrar formas de contorná-lo.
O que é o CVE-2026-42055
A segunda falha é um heap-based buffer overflow, ou seja, um estouro de buffer na memória heap. Ela afeta os módulos “ngx_http_proxy_v2_module” e “ngx_http_grpc_module”.
Para que a falha seja explorada, três condições precisam estar presentes ao mesmo tempo. A diretiva proxy_http_version precisa estar configurada como 2 ou o grpc_pass precisa estar em uso para proxy de tráfego HTTP/2. Além disso, a diretiva ignore_invalid_headers precisa estar desativada e o tamanho da diretiva large_client_header_buffers precisa ser maior que 2 MB.
Quais versões foram corrigidas
A F5 já disponibilizou correções para diversos produtos da linha NGINX. O NGINX Open Source recebeu patch nas versões 1.31.2 e 1.30.3, dependendo da versão instalada.
Outros produtos também foram corrigidos, incluindo NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller e as versões WAF e DoS do NGINX App Protect. A lista completa de versões afetadas e corrigidas está disponível no comunicado oficial da F5.
Como se proteger enquanto não atualiza
Para quem ainda não conseguiu aplicar as correções, a F5 recomenda medidas de mitigação temporárias para cada falha.
No caso do CVE-2026-42530, a recomendação é desativar o suporte ao HTTP/3 no servidor. Já para o CVE-2026-42055, é preciso remover a diretiva ignore_invalid_headers off da configuração, ou então reduzir o tamanho da diretiva large_client_header_buffers para menos de 2 MB.
Nenhum comentário:
Postar um comentário