F5 veröffentlicht außerplanmäßige Updates für kritische NGINX-Schwachstellen

Zusammenfassung

F5 hat außerplanmäßige Sicherheitsupdates für mehrere Schwachstellen im NGINX-Webserver veröffentlicht. Im Mittelpunkt stehen zwei als kritisch eingestufte Lücken, die laut Hersteller von nicht authentifizierten Angreifern aus der Ferne ausgenutzt werden können, um auf NGINX-Systemen mit nicht standardmäßigen Konfigurationen einen Denial-of-Service auszulösen oder Code auszuführen. Betroffen sind laut F5 die Module ngx_http_v3_module mit CVE-2026-42530 sowie ngx_http_proxy_v2_module und ngx_http_grpc_module mit CVE-2026-42055. F5 stellt Patches für mehrere Produkte bereit, darunter NGINX Plus, NGINX Open Source, NGINX Gateway Fabric und NGINX Instance Manager. Zusätzlich behebt das Unternehmen zwei weitere Schwachstellen mit hohem Schweregrad in NGINX Gateway Fabric. Nach Angaben von F5 gibt es derzeit keinen Hinweis darauf, dass die jetzt geschlossenen Lücken bereits in Angriffen ausgenutzt wurden.

Die beiden kritischen Schwachstellen CVE-2026-42530 und CVE-2026-42055 betreffen laut F5 unterschiedliche NGINX-Module, führen technisch aber zu ähnlich schwerwiegenden Folgen. Eine erfolgreiche Ausnutzung verursacht im Worker-Prozess von NGINX entweder einen Use-after-free-Fehler oder einen Heap-basierten Pufferüberlauf, was einen Neustart des Prozesses auslöst. In beiden Fällen ist laut F5 zudem eine Codeausführung auf Systemen möglich, bei denen die Adressraum-Layout-Randomisierung (ASLR) deaktiviert ist oder von Angreifern umgangen werden kann.

Voraussetzung für die Ausnutzung ist nach Herstellerangaben eine nicht standardmäßige Konfiguration. CVE-2026-42530 steckt im ngx_http_v3_module. CVE-2026-42055 betrifft das ngx_http_proxy_v2_module und das ngx_http_grpc_module. Beide Lücken lassen sich laut F5 durch nicht authentifizierte Angreifer aus der Ferne missbrauchen.

Sicherheitsupdates hat F5 für mehrere betroffene NGINX-Produkte veröffentlicht. Genannt werden NGINX Plus und NGINX Open Source ebenso wie NGINX Gateway Fabric und NGINX Instance Manager. Für Administratoren, die die Updates nicht sofort einspielen können, nennt F5 konkrete Übergangsmaßnahmen.

Zur Entschärfung von CVE-2026-42530 empfiehlt das Unternehmen, HTTP/3 zu deaktivieren und dazu quic aus allen listen-Direktiven zu entfernen. CVE-2026-42055 lässt sich laut F5 abmildern, indem die Direktive ignore_invalid_headers off aus der Konfiguration entfernt und die Größe der Direktive large_client_header_buffers auf unter 2 Megabyte reduziert wird.

Neben den beiden kritischen Fehlern hat F5 auch zwei Schwachstellen mit hohem Schweregrad in NGINX Gateway Fabric geschlossen. Diese werden als CVE-2026-11311 und CVE-2026-50107 geführt. Sie können laut Hersteller von authentifizierten Angreifern ausgenutzt werden, um beliebige NGINX-Konfigurationsdirektiven einzuschleusen.

F5 hat keine der jetzt behobenen Schwachstellen als bereits aktiv ausgenutzt eingestuft. Der Hersteller verweist jedoch indirekt auf die Attraktivität eigener Produkte als Angriffsziel: In den vergangenen Jahren wurden F5-Schwachstellen laut Text sowohl von cyberkriminellen Gruppen als auch von staatlich unterstützten Akteuren ausgenutzt.

Als Beispiele nennt der Quelltext Angriffe über Sicherheitslücken in F5-Produkten, um in Unternehmensnetzwerke einzudringen, Datenlösch-Malware zu platzieren, interne Server zu kartieren, Geräte zu kapern und sensible Dokumente von Opfern weltweit zu stehlen. Zudem hatte F5 im Oktober offengelegt, dass staatlich unterstützte Angreifer im August 2025 in die eigenen Systeme eingedrungen seien und nicht offengelegte BIG-IP-Schwachstellen sowie Quellcode entwendet hätten.

Auch die US-Behörde CISA hat in den vergangenen Jahren mehrfach auf aktiv ausgenutzte F5-Lücken hingewiesen. Laut Quelltext setzte die Behörde sieben F5-Schwachstellen auf ihre Liste aktiv ausgenutzter Sicherheitslücken; vier davon wurden demnach in Ransomware-Angriffen missbraucht.

F5 veröffentlicht außerplanmäßige Updates für kritische NGINX-Schwachstellen

Ähnliche Artikel

Neueste Artikel