forum.opennet.ru - "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика" (12)

"Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика"	+/–
Сообщение от opennews (??), 05-Фев-26, 20:07
Сформирован выпуск основной ветки nginx 1.29.5, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.2, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранена уязвимость (CVE-2026-1642), позволяющая атакующему, имеющему возможность вклиниться (MITM) в канал связи между nginx и upstream-сервером, подставить отправляемые клиенту ответы. Проблема затрагивает конфигурации, проксирующие запросы (HTTP 1.x, HTTP/2, gRPC или uWSGI) к вышестоящему серверу с использованием TLS-шифрования... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64747
Ответить \| Правка \| Cообщить модератору

Оглавление

А почему React приложение имеет доступ к конфигурации nginx Оно же вроде под от, FSA (ok), 20:26 , 05-Фев-26, (2)

Получали доступ к панели управления хостингом , Аноним (3), 20:32 , 05-Фев-26, (3)

Ааа, блин, читаю книгу, вижу фигу Точно , FSA (ok), 20:54 , 05-Фев-26, (11) +2
И что это меняет Уязвимость в react SSR, то есть там какой-то NextJS крутится, , Аноним (25), 08:37 , 06-Фев-26, (25) +1

Ну значит положили в очередь задание на изменение конфигурации nginx делов-т, 1 (??), 09:10 , 06-Фев-26, (28) +1

Так, я не понял, после обновления nginx надо проверить все его конфиги на предме, Rev (ok), 20:33 , 05-Фев-26, (4) –2

Желательно всегда это делать, и не только с nginx , Аноним (7), 20:44 , 05-Фев-26, (7) +2
У Вас панель управления хостингом на Реакте , КО (?), 09:05 , 06-Фев-26, (26)

Как быстро в Дебиане это исправят , ebassi (?), 07:16 , 06-Фев-26, (22)

https security-tracker debian org tracker CVE-2026-1642Скоро узнаем, Аноним (24), 08:16 , 06-Фев-26, (24)
Что пнель управления Nginx на Реакте или возможность влезть между Nginx и сервер, КО (?), 09:08 , 06-Фев-26, (27)

А chattr i и правильные права владелец на конфиги не спасает , Аноним (30), 09:29 , 06-Фев-26, (30)

Сообщения [Сортировка по времени | RSS]

2. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +/–

Сообщение от FSA (ok), 05-Фев-26, 20:26

А почему React приложение имеет доступ к конфигурации nginx? Оно же вроде под отдельным пользователем должно было быть, а сам nginx работает под отдельным пользователем.

Ответить | Правка | Наверх | Cообщить модератору

3. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +/–

Сообщение от Аноним (3), 05-Фев-26, 20:32

Получали доступ к панели управления хостингом.

Ответить | Правка | Наверх | Cообщить модератору

11. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +2 +/–

Сообщение от FSA (ok), 05-Фев-26, 20:54

Ааа, блин, читаю книгу, вижу фигу. Точно.

Ответить | Правка | Наверх | Cообщить модератору

25. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +1 +/–

Сообщение от Аноним (25), 06-Фев-26, 08:37

И что это меняет? Уязвимость в react SSR, то есть там какой-то NextJS крутится, который делает серверный пререндеринг React. То, что бэкенд, который вносит изменения в конфигурацию nginx, крутится под тем же пользователем - это, мягко скажем, неосмотрительно (или они это вообще в NextJS засунули? Ну тогда вообще феерично). А в идеале, даже бэкенд должен просто класть задачи в очередь, а демон, который обновляет конфигурацию, выполняет задания из очереди. Так вообще можно разнести саму панель и управляемые ей сервера.
Впрочем, для писателей панелей такой примитивный подход - это типично. Те, кто умеют пользоваться хотя бы puppet или, там, cfengine, панели не пишут, им оно не надо.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

28. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +1 +/–

Сообщение от 1 (??), 06-Фев-26, 09:10

Ну значит положили в очередь задание на изменение конфигурации nginx ... делов-то.

Ответить | Правка | Наверх | Cообщить модератору

4. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." –2 +/–

Сообщение от Rev (ok), 05-Фев-26, 20:33

Так, я не понял, после обновления nginx надо проверить все его конфиги на предмет изменения?

Ответить | Правка | Наверх | Cообщить модератору

7. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +2 +/–

Сообщение от Аноним (7), 05-Фев-26, 20:44

Желательно всегда это делать, и не только с nginx.

Ответить | Правка | Наверх | Cообщить модератору

26. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +/–

Сообщение от КО (?), 06-Фев-26, 09:05

У Вас панель управления хостингом на Реакте?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

22. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +/–

Сообщение от ebassi (?), 06-Фев-26, 07:16

Как быстро в Дебиане это исправят?

Ответить | Правка | Наверх | Cообщить модератору

24. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +/–

Сообщение от Аноним (24), 06-Фев-26, 08:16

https://security-tracker.debian.org/tracker/CVE-2026-1642
Скоро узнаем

Ответить | Правка | Наверх | Cообщить модератору

27. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +/–

Сообщение от КО (?), 06-Фев-26, 09:08

Что пнель управления Nginx на Реакте или возможность влезть между Nginx и сервером приложений?
В первом случае - ССЗБ, во втором этот контур лучше вообще держать недоступным для третьих лиц.

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

30. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." +/–

Сообщение от Аноним (30), 06-Фев-26, 09:29

А chattr +i и правильные права/владелец на конфиги не спасает ?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+/–
Сообщение от FSA (ok), 05-Фев-26, 20:26
А почему React приложение имеет доступ к конфигурации nginx? Оно же вроде под отдельным пользователем должно было быть, а сам nginx работает под отдельным пользователем.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+/–
	Сообщение от Аноним (3), 05-Фев-26, 20:32
	Получали доступ к панели управления хостингом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+2 +/–
	Сообщение от FSA (ok), 05-Фев-26, 20:54
	Ааа, блин, читаю книгу, вижу фигу. Точно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+1 +/–
	Сообщение от Аноним (25), 06-Фев-26, 08:37
	И что это меняет? Уязвимость в react SSR, то есть там какой-то NextJS крутится, который делает серверный пререндеринг React. То, что бэкенд, который вносит изменения в конфигурацию nginx, крутится под тем же пользователем - это, мягко скажем, неосмотрительно (или они это вообще в NextJS засунули? Ну тогда вообще феерично). А в идеале, даже бэкенд должен просто класть задачи в очередь, а демон, который обновляет конфигурацию, выполняет задания из очереди. Так вообще можно разнести саму панель и управляемые ей сервера. Впрочем, для писателей панелей такой примитивный подход - это типично. Те, кто умеют пользоваться хотя бы puppet или, там, cfengine, панели не пишут, им оно не надо.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	28. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+1 +/–
	Сообщение от 1 (??), 06-Фев-26, 09:10
	Ну значит положили в очередь задание на изменение конфигурации nginx ... делов-то.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	–2 +/–
Сообщение от Rev (ok), 05-Фев-26, 20:33
Так, я не понял, после обновления nginx надо проверить все его конфиги на предмет изменения?
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+2 +/–
	Сообщение от Аноним (7), 05-Фев-26, 20:44
	Желательно всегда это делать, и не только с nginx.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+/–
	Сообщение от КО (?), 06-Фев-26, 09:05
	У Вас панель управления хостингом на Реакте?
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

22. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+/–
Сообщение от ebassi (?), 06-Фев-26, 07:16
Как быстро в Дебиане это исправят?
Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+/–
	Сообщение от Аноним (24), 06-Фев-26, 08:16
	https://security-tracker.debian.org/tracker/CVE-2026-1642 Скоро узнаем
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+/–
	Сообщение от КО (?), 06-Фев-26, 09:08
	Что пнель управления Nginx на Реакте или возможность влезть между Nginx и сервером приложений? В первом случае - ССЗБ, во втором этот контур лучше вообще держать недоступным для третьих лиц.
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору

30. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..."	+/–
Сообщение от Аноним (30), 06-Фев-26, 09:29
А chattr +i и правильные права/владелец на конфиги не спасает ?
Ответить \| Правка \| Наверх \| Cообщить модератору