Hersteller F5 warnt vor Sicherheitslücken in Nginx und stellt ungeplante Aktualisierungen für die Software bereit. Die Schwachstellen betreffen das ngx_http_v3_module, ngx_http_proxy_v2_module und ngx_http_grpc_module sowie Nginx Gateway Fabric.

In einer Übersicht listet F5 die Sicherheitslecks auf. Wenn Nginx so konfiguriert ist, das HTTP/3-QUIC-Modul zu nutzen, können nicht authentifizierte Angreifer aus dem Netz mit sorgsam präparierten Paketen eine Use-after-free-Situation provozieren, was normalerweise zum Neustart führt. In Umgebungen, die Adress Space Layout Randomization (ASLR) deaktiviert haben oder wo sie es umgehen können, ist damit Codeschmuggel möglich (CVE-2026-42530, CVSS4 9.2, Risiko „kritisch“). Die Sicherheitsmitteilung listet als betroffene Versionen Nginx Open Source 1.31.0 bis 1.31.1 auf; 1.31.2 enthält einen Fix; Nginx Instant Manager 2.17.0-2.22.0 sind betroffen (kein Fix), Gateway Fabric bekommt nur in Version 2 die Korrektur in 2.6.4; Nginx Ingress Controller ist verwundbar in allen Zweigen von 3.x bis 5.x und erhält keine Fehlerkorrektur. Ansonsten helfe das Deaktivieren von HTTP/3 durch Entfernen von „quic“ aus allen „listen“-Richtlinien.

In Nginx Plus und Open Source können nicht authentifizierte Angreifer aus dem Netz durch Senden manipulierter Anfragen einen Heap-basierten Pufferüberlauf auslösen. Auf Systemen ohne ASLR lässt sich dadurch Schadcode einschleusen und ausführen (CVE-2026-42055, CVSS4 9.2, Risiko „kritisch“). F5 listet Nginx Plus, Open Source, Instance Manager, F5 WAF for Nginx, Nginx App Protect WAF, F5 DoS for Nginx, Nginx App Protect DoS, Nginx Gateway Fabric und Nginx Ingress Controller in diversen Versionen als verwundbar auf. Admins finden in der Mitteilung die konkret gefixten Fassungen.

Weitere hochriskante Sicherheitslücken

Zwei Sicherheitslücken betreffen insbesondere Nginx Gateway Fabric. Authentifizierte Angreifer können dadurch unter Umständen Nginx-http-context-Richtlinien einschleusen oder Server bösartig blockieren (CVE-2026-11311, CVSS4 8.6, Risiko „hoch“). Außerdem können bösartige Akteure unter Umständen Custom Resource Definitions (CRD) für NginxProxy missbrauchen und damit Konfigurationsrichtlinien einschleusen (CVE-2026-50107, CVSS4 8.6, Risiko „hoch“). Beides bessert F5 in Gateway Fabric 2.6.4 aus.

Keine der Lücken scheint bisher in freier Wildbahn angegriffen zu werden. Admins sollten dennoch nicht zögern, die Updates anzuwenden.

Erst vor drei Wochen hat F5 Denial-of-Service- und Schadcode-Lücken in Nginx-Webservern geschlossen.

(dmk)

Das anonymisierende Linux Tails ist in Version 7.9 erschienen. Die Entwickler haben keine großen neuen Funktionen gebaut, sondern bringen die wichtigsten Kernkomponenten auf den aktuellen Stand.

Die Versionsankündigung zu Tails 7.9 ist daher auch sehr kurz und knapp. Der zentrale Tor-Browser zum Surfen im Netz ist nun auf Stand 15.0.16 dabei. Außerdem haben die Entwickler einige Firmware-Pakete aktualisiert, was die Unterstützung neuerer Hardware wie Grafikkarten oder WLAN-Module verbessert. Ein Problem mit der Vorversion konnten die Programmierer zudem lösen: In manchen Fällen kam es zu Warnungen vor ausgelaufenen Secure-Boot-Zertifikaten, obwohl die Zertifikate bereits aktualisiert sind.

Herunterladen der Images

Die Linux-Distribution für die Hosentasche steht wie üblich als Abbild zum Schreiben auf USB-Sticks und als ISO-Image für das Brennen auf DVDs oder zum Nutzen in virtuellen Maschinen zum Herunterladen bereit.

Tails ist eine schlanke Linux-Distribution, die sich etwa auf einen startbaren USB-Stick verfrachten lässt. Damit wiederum können Rechner in fremden Umgebungen gestartet werden, sodass die Maschinen sich nutzen lassen, ohne dass etwa installierte Spyware im sonst aktiven Betriebssystem mitliest. Durch die Nutzung des Tor-Netzes lassen sich zudem Zensurmaßnahmen umgehen, ohne dabei sichtbare Spuren zu hinterlassen.

Vor etwa zwei Wochen hatten die Tails-Maintainer die Version 7.8.1 herausgegeben. Das war als ungeplantes Notfall-Update nötig, um Schwachstellen auszubessern, die Angriffe gegen die Anonymisierung ermöglicht hätten. Insbesondere haben die Entwickler eigenen Angaben zufolge damit eine Linux-Kernel-Sicherheitslücke der „Fragnesia“-Klasse und eine Sicherheitslücke im Tor-Client geschlossen. Bösartige Akteure hätten darin die Prüfung auf „ZIP-Bomben“ umgehen oder auf Speicherbereiche außerhalb der vorgesehenen Grenzen zugreifen können.

(dmk)

Netzwerkadmins mit Cisco-Produkten sollten zeitnah die jüngst veröffentlichten Sicherheitsupdates für Identity Services Engine (ISE), ISE Passive Identity Connector (ISE-PIC), Webex App, Umbrella Virtual Appliance und Crosswork Network Controller installieren. Andernfalls können Angreifer unter bestimmten Bedingungen Schadcode ausführen und Systeme kompromittieren.

Bislang gibt es seitens des Netzwerkausrüsters keine Hinweise auf laufende Attacken.

Mehrere Softwareschwachstellen

Am gefährlichsten gilt eine Sicherheitslücke (CVE-2026-20181) in ISE und ISE-PIC. Trotz der Voraussetzung, dass Angreifer über Adminrechte verfügen müssen, ist die Schwachstelle als „kritisch“ eingestuft. Ist das gegeben, können sie mit präparierten HTTP-Anfragen Attacken einleiten und sich im Anschluss zum Rootnutzer hochstufen. Im Anschluss kann unter anderem Schadcode auf Systeme gelangen.

Durch das erfolgreiche Ausnutzen der zweiten Lücke in diesen Produkten (CVE-2026-20190 „hoch“) können Angreifer eigentlich abgeschottete Daten einsehen. Die Entwickler geben an, die Sicherheitsprobleme in den Ausgaben 3.3 Patch 11, 3.4 Patch 6, 3.5 Patch 3 und 3.5 Patch 4 (Aug 2026) gelöst zu haben. Für Ausgaben vor 3.3 gibt es keine Sicherheitsupdates mehr; hier ist ein Upgrade auf eine noch unterstützte Version nötig.

Über die Webex-App-Lücke (CVE-2026-20178 „mittel“) können Angreifer ohne Authentifizierung Opfer auf eine von ihnen kontrollierte Website leiten. Die Schwachstelle (CVE-2026-20246 „mittel“) in Umbrella Virtual Appliance verschafft Angreifern höhere Rechte. Crosswork Network Controller ist für Schadcode-Befehle (CVE-2026-20220 „mittel“) anfällig.

Weiterführende Informationen zu den Lücken und reparierten Versionen finden Admins in den offiziellen Warnmeldungen:

(des)