F5 patcht außerplanmäßig kritische Nginx-Sicherheitslücken

Hersteller F5 warnt vor Sicherheitslücken in Nginx und stellt ungeplante Aktualisierungen für die Software bereit. Die Schwachstellen betreffen das ngx_http_v3_module, ngx_http_proxy_v2_module und ngx_http_grpc_module sowie Nginx Gateway Fabric.

In einer Übersicht listet F5 die Sicherheitslecks auf. Wenn Nginx so konfiguriert ist, das HTTP/3-QUIC-Modul zu nutzen, können nicht authentifizierte Angreifer aus dem Netz mit sorgsam präparierten Paketen eine Use-after-free-Situation provozieren, was normalerweise zum Neustart führt. In Umgebungen, die Adress Space Layout Randomization (ASLR) deaktiviert haben oder wo sie es umgehen können, ist damit Codeschmuggel möglich (CVE-2026-42530, CVSS4 9.2, Risiko „kritisch“). Die Sicherheitsmitteilung listet als betroffene Versionen Nginx Open Source 1.31.0 bis 1.31.1 auf; 1.31.2 enthält einen Fix; Nginx Instant Manager 2.17.0-2.22.0 sind betroffen (kein Fix), Gateway Fabric bekommt nur in Version 2 die Korrektur in 2.6.4; Nginx Ingress Controller ist verwundbar in allen Zweigen von 3.x bis 5.x und erhält keine Fehlerkorrektur. Ansonsten helfe das Deaktivieren von HTTP/3 durch Entfernen von „quic“ aus allen „listen“-Richtlinien.

In Nginx Plus und Open Source können nicht authentifizierte Angreifer aus dem Netz durch Senden manipulierter Anfragen einen Heap-basierten Pufferüberlauf auslösen. Auf Systemen ohne ASLR lässt sich dadurch Schadcode einschleusen und ausführen (CVE-2026-42055, CVSS4 9.2, Risiko „kritisch“). F5 listet Nginx Plus, Open Source, Instance Manager, F5 WAF for Nginx, Nginx App Protect WAF, F5 DoS for Nginx, Nginx App Protect DoS, Nginx Gateway Fabric und Nginx Ingress Controller in diversen Versionen als verwundbar auf. Admins finden in der Mitteilung die konkret gefixten Fassungen.

Weitere hochriskante Sicherheitslücken

Zwei Sicherheitslücken betreffen insbesondere Nginx Gateway Fabric. Authentifizierte Angreifer können dadurch unter Umständen Nginx-http-context-Richtlinien einschleusen oder Server bösartig blockieren (CVE-2026-11311, CVSS4 8.6, Risiko „hoch“). Außerdem können bösartige Akteure unter Umständen Custom Resource Definitions (CRD) für NginxProxy missbrauchen und damit Konfigurationsrichtlinien einschleusen (CVE-2026-50107, CVSS4 8.6, Risiko „hoch“). Beides bessert F5 in Gateway Fabric 2.6.4 aus.

Keine der Lücken scheint bisher in freier Wildbahn angegriffen zu werden. Admins sollten dennoch nicht zögern, die Updates anzuwenden.

Erst vor drei Wochen hat F5 Denial-of-Service- und Schadcode-Lücken in Nginx-Webservern geschlossen.

(dmk)