Nginx-Poolslip-Schwachstelle ermöglicht DoS- und Code-Execution-Angriffe – Sofort patchen!

Laut Sicherheitswarnung von F5 entsteht das Problem, wenn eine Rewrite-Anweisung ein regulären Ausdruck mit unterschiedlichen, sich überschneidenden PCRE-Angabe-Gruppen verwendet, beispielsweise ^/((.*))$, kombiniert mit einem Ersetzungsstring, der mehrere Gruppen referenziert, wie $1$2 in einem Umleitungs- oder Argumenten-Kontext.

Unter diesen Bedingungen kann ein Angreifer, der speziell gestaltete Anfragen sendet, einen Heap-Buffer-Overflow (CWE-122) im NGINX-Worker-Prozess auslösen. NGINX verwendet für jede Anfrage einen dedizierten Speicherpool, den er erst vollständig freigibt, wenn die Anfrage abgeschlossen ist.

Innerhalb dieser Pool-Struktur verwaltet NGINX eine verkettete Liste äumaroutinen; kann ein Angreifer den Zeiger auf diese Routine überschreiben oder umleiten, wird die Zerstörung des Pools zu einer Gelegenheit für die Übernahme der Steuerflusskontrolle.

Während der frühere Rift-Bug eine Fehlerhafte

Während der frühere Rift-Bug eine Fehlerhafte Berechnung der Puffergröße ausnutzte, löst poolslip über einen anderen Codepfad zum selben Korruptionsziel eine kontrollierte „Verschiebung" des Zeigers über benachbarte verkettete Strukturen im selben Pool aus.

Entscheidend bestätigten Forscher, dass die Patches für den vorherigen Fehler die zugrundeliegende Angriffsfläche des Speicherpools nicht beseitigten und somit die Tür für das Auftreten offen ließen. Im schlimmsten Fall führt die Ausnutzung zu Abstürzen und Neustarts des Worker-Prozesses, was einen Denial-of-Service-Zustand verursacht.

Schwerwiegender ist, dass Codeausführung auf Systemen möglich ist, bei denen die Adressraumlayout-Randomisierung (ASLR) deaktiviert ist oder die ein Angreifer umgehen kann. F5 weist darauf hin, dass keine Exposition der Steuerebene vorliegt; dies ist ausschließlich ein Problem der Datenebene.

Sicherheitslage und Risiko

Die Schwachstelle erhält eine Bewertung /8,1 (CVSS v3.1) und Critical/9,2 (CVSS v4.0). Aufgrund der weit verbreiteten Nutzung ösungen, API-Gateways und Kubernetes-Load-Balancern ist die betroffene Angriffsfläche enorm.

Betroffene Versionen und Patches: NGINX Open Source Versionen von 0.1.17 bis 1.30.1 sowie 1.31.0 sind betroffen; aktualisieren Sie auf Version 1.30.2 oder 1.31.1. Nutzer Release-Zyklen R32 bis R36 sollten auf R36 P5 oder R32 P7 wechseln, Nutzer der 37.x-Reihe auf R37.0.1.1.

NGINX Plus: Betroffene Versionen: 37.0.0, R32 bis R36; gepatchte Versionen: 37.0.1.1, R36 P5, R32 P7. NGINX Open Source: Betroffene Versionen: 1.31.0, 1.0.0 bis 1.30.1, 0.1.17 bis 0.9.7; gepatchte Versionen: 1.31.1, 1.30.2. Wird nicht behoben. NGINX Instance Manager: Betroffene Versionen: 2.17.0 bis 2.22.0; gepatchte Versionen: Keine.

Sicherheitslage und Risiko

F5 WAF for NGINX: Betroffene Versionen: 5.9.0 bis 5.13.0; gepatchte Versionen: Keine. NGINX App Protect WAF: Betroffene Versionen: 5.2.0 bis 5.8.0, 4.10.0 bis 4.16.0; gepatchte Versionen: Keine. F5 DoS for NGINX: Betroffene Versionen: 4.9.0; gepatchte Versionen: Keine. NGINX App Protect DoS: Betroffene Versionen: 4.3.0 bis 4.7.0; Gepatchte Versionen: Keine.

NGINX Gateway Fabric: Betroffene Versionen: 2.0.0 bis 2.6.1 sowie 1.3.0 bis 1.6.2; Gepatchte Versionen: Keine. NGINX Ingress Controller: Betroffene Versionen: 5.0.0 bis 5.4.2, 4.0.0 bis 4.0.1 sowie 3.5.0 bis 3.7.2; Gepatchte Versionen: Keine. NGINX (alle anderen Produkte): Betroffene Versionen: Keine; Gepatchte Versionen: Nicht zutreffend.

Nachgelagerte Produkte, darunter NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect (WAF und DoS), NGINX Gateway Fabric sowie NGINX Ingress Controller, vererben die anfälligen Komponenten und sollten aktualisiert werden, sobald Patches verfügbar sind. Die 0.x-Zweig wird nicht gepatcht.

Sicherheitslage und Risiko

Falls eine sofortige Patchung nicht möglich ist, empfiehlt F5, in allen betroffenen Rewrite-Befehlen unbenannte Platzhalter durch benannte Platzhalter zu ersetzen. Beispielsweise sollten Referenzen wie $1 und $2 durch (?...) und (?...) ersetzt werden, wobei diese im Ersatzstring nach Namen referenziert werden.

Die Schwachstelle wurde Mufeed VH, Nebula Security und Vexera AI zugeschrieben. Da bereits Proof-of-Concept-Aktivitäten im Umlauf sind, sollten Organisationen unverzüglich Patches anwenden.