F5 heeft een out-of-band beveiligingsupdate uitgebracht die acht kwetsbaarheden in NGINX en BIG-IP verhelpt. De ernstigste kwetsbaarheid, CVE-2026-42533 met een CVSS-score van 9,2, betreft een kritisch probleem in NGINX Plus en NGINX Open Source. Deze kan worden misbruikt via speciaal opgezette HTTP-verzoeken om een heap buffer overflow te veroorzaken, wat leidt tot het herstarten van het NGINX workerproces.
Volgens F5 ontstaat de kwetsbaarheid wanneer een map-directive regex-matching gebruikt en een stringexpressie verwijst naar de regex capture-variabelen voordat de map output-variabele wordt aangeroepen. Een vergelijkbaar effect kan optreden bij het gebruik van een niet-cacheerbare variabele in een stringexpressie onder bepaalde omstandigheden. Aanvallers kunnen deze kwetsbaarheid zonder authenticatie misbruiken, hoewel alleen onder omstandigheden die zij niet kunnen beheersen. Op systemen waar Address Space Layout Randomization (ASLR) is uitgeschakeld, kan dit leiden tot code-executie.
Daarnaast verhelpen de patches meerdere andere ernstige NGINX-bugs, waaronder kwetsbaarheden in de ngx_http_slice_module en ngx_http_ssi_module die eveneens zonder authenticatie kunnen worden uitgebuit. Exploitatie kan leiden tot het lekken van geheugengegevens, het herstarten van het NGINX workerproces of een use-after-free situatie die geheugen kan wijzigen of het proces kan herstarten.
Verder zijn twee ernstige kwetsbaarheden in de NGINX Ingress Controller aangepakt. Deze konden geauthenticeerde aanvallers in staat stellen om willekeurige NGINX-configuratie-instructies te injecteren, waarmee zij bestanden konden verwijderen, diensten uitschakelen of Ingress- en TransportServer-resources creëren of wijzigen om een denial-of-service (DoS) te veroorzaken. Ook is een ernstige kwetsbaarheid in BIG-IP opgelost die door externe, niet-geauthenticeerde aanvallers kon worden misbruikt om het geheugengebruik te verhogen bij een HTTP/2-profiel op een virtuele server, wat eveneens tot een DoS kan leiden.
F5 meldt geen aanwijzingen dat deze kwetsbaarheden al in het wild worden misbruikt. Verdere details zijn beschikbaar in de security notification van F5.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *