forum.opennet.ru - "В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость" (18)

"В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость"	+/–
Сообщение от opennews (??), 22-Май-26, 22:58
Сформированы корректирующие выпуски nginx 1.31.1 и 1.30.2, в которых устранена критическая уязвимость (CVE-2026-9256), позволяющая удалённо добиться выполнения кода с правами рабочего процесса nginx через отправку специально оформленного HTTP-запроса. Выявившие проблему исследователи продемонстрировали рабочий эксплоит, который будет опубликован вместе с полным описанием спустя 30 дней после исправления. Уязвимость получила кодовое имя nginx-poolslip. Проблема проявляется начиная с версии nginx 0.1.17. Для angie и freenginx на момент написания новости исправления не опубликованы... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65505
Ответить \| Правка \| Cообщить модератору

Оглавление

А сколько тех кто не обновляется https w3techs com technologies overview web, Аноним (1), 22:58 , 22-Май-26, (1) +1

То самое чувство, когда мне раньше говорили, что я за AWS просто так плачу и про, Аноним (15), 00:27 , 23-Май-26, (15)

Да, но теперь их блокируют у нас изнутри https aws amazon com ru https www c, Аноним (1), 01:00 , 23-Май-26, (18)

Наружу надо выставлять HAProxy, даже без балансировки Имеем разгрузку SSL и Zli, Аноним (2), 23:03 , 22-Май-26, (2)

Забавно как все сервера в мире имели уязвимость наружу, которая при некоторых за, Аноним (7), 23:11 , 22-Май-26, (7) –3

Во-первых, nginx давно уже не от российского разработчика Во-вторых, nginx испо, Аноним (10), 23:21 , 22-Май-26, (10) –3

Версия 0 1 17 вышла в 2005 году Разработчик, ты не поверишь, тогда был ещё очен, Аноним (13), 00:18 , 23-Май-26, (13) +3

Скрыто модератором, Аноним (17), 00:41 , 23-Май-26, (17)

Скрыто модератором, Аноним (7), 23:09 , 22-Май-26, (3) +3

Скрыто модератором, Аноним (1), 23:11 , 22-Май-26, (6)
Скрыто модератором, Аноним (10), 23:14 , 22-Май-26, (8) +2

Скрыто модератором, Аноним (13), 00:20 , 23-Май-26, (14)

Тем временем в прошлом месяце уже вторая контора с которой мы работаем занимаем, Аноним (10), 23:09 , 22-Май-26, (4) +1

Ну они хорошо прибавляют https github com cloudflare pingora releases, Аноним (1), 23:10 , 22-Май-26, (5)
Скрыто модератором, Soltek (?), 00:37 , 23-Май-26, (16)

вопрос в каких популярных цмсочках такое идет по дефолту, Аноним (9), 23:15 , 22-Май-26, (9) +1

Какое отношение цмсочки имеют к реврайту на nginx , Аноним (10), 23:22 , 22-Май-26, (11) +1

Для того чтобы уязвимость, которая проявляется в конфигурациях с определёнными, Аноним (9), 23:38 , 22-Май-26, (12) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 22-Май-26, 22:58 +1 +/–

>Сформированы корректирующие выпуски nginx 1.31.1 и 1.30.2
А сколько тех кто не обновляется...
https://w3techs.com/technologies/overview/web_server

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

2. Сообщение от Аноним (2), 22-Май-26, 23:03 +/–

Наружу надо выставлять HAProxy, даже без балансировки. Имеем разгрузку SSL и Zlib, плюс фильтрация WAF.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

3. Сообщение от Аноним (7), 22-Май-26, 23:09 Скрыто ботом-модератором +3 +/–

Надеюсь тут нет никого кто считает что это случайность и никакой организации из трёх букв за этим нет стоит. Это все же технический сайт, а не первый канал.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #8

4. Сообщение от Аноним (10), 22-Май-26, 23:09 +1 +/–

Тем временем в прошлом месяце уже вторая контора с которой мы работаем (занимаемся бэкенд разработкой) заменила nginx на pingora. Они что-то знают (С).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #16

5. Сообщение от Аноним (1), 22-Май-26, 23:10 +/–

Ну они хорошо прибавляют:
https://github.com/cloudflare/pingora/releases

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (1), 22-Май-26, 23:11 +/–

>и никакой организации из трёх букв за этим нет стоит
ркн ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

7. Сообщение от Аноним (7), 22-Май-26, 23:11 –3 +/–

Забавно как все сервера в мире имели уязвимость наружу, которая при некоторых задач и использовании данного модуля делала из серверов по факту большой источник данных для некоторых организаций.
А ещё больше смешны люди которые думали что полностью в безопасности использую nginx от российского разработчика.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10, #17

8. Сообщение от Аноним (10), 22-Май-26, 23:14 +2 +/–

Есть. Даже напротив - скорее всего тут ты один считаешь что некая организация будет добавлять баги в nginx чтобы тот только при использовании rewrite из-под своего сраного www мог ничего злонамеренного не сделать, когда вокруг столько сишных дуршлагов с большими привилегиями, при том что такие баги для сишного кода практически гарантированы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #14

9. Сообщение от Аноним (9), 22-Май-26, 23:15 +1 +/–

>уязвимость затрагивает системы с перекрывающимися шаблонами
вопрос в каких популярных цмсочках такое идет по дефолту

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

10. Сообщение от Аноним (10), 22-Май-26, 23:21 –3 +/–

Во-первых, nginx давно уже не от российского разработчика. Во-вторых, nginx используется везде, и будь в дырках виновата контора из 3 букв, она делала "из серверов по факту большой источник данных для некоторых организаций" и на своей территории. А я что-то ни в одной конторе КИИ с которыми работал не видел инструкций об ограничении использования nginx.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #13

11. Сообщение от Аноним (10), 22-Май-26, 23:22 +1 +/–

Какое отношение цмсочки имеют к реврайту на nginx?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от Аноним (9), 22-Май-26, 23:38 +1 +/–

Для того чтобы уязвимость, которая "проявляется в конфигурациях с определёнными регулярными выражениями" заработала, именно такие правила должны в конфиге быть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

13. Сообщение от Аноним (13), 23-Май-26, 00:18 +3 +/–

Версия 0.1.17 вышла в 2005 году. Разработчик, ты не поверишь, тогда был ещё очень даже российский.
Ты наверно пока тебе по телевизору не скажут ни во что не поверишь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (13), 23-Май-26, 00:20 +/–

> Есть. Даже напротив - скорее всего тут ты один считаешь что некая
> организация будет добавлять баги в nginx чтобы тот только при использовании
> rewrite из-под своего сраного www мог ничего злонамеренного не сделать, когда
> вокруг столько сишных дуршлагов с большими привилегиями, при том что такие
> баги для сишного кода практически гарантированы.
Действительнл такие как ты никогда не вымрут.

Эдик Сноудкн зря метал бисер перед людьми, которые не способны понять простых вещей.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

15. Сообщение от Аноним (15), 23-Май-26, 00:27 +/–

То самое чувство, когда мне раньше говорили, что я за AWS просто так плачу и проще "свое".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #18

16. Сообщение от Soltek (?), 23-Май-26, 00:37 Скрыто ботом-модератором +/–

Жалкая реклама поделки на расте которой пользуются 2.5 анонимуса

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

17. Сообщение от Аноним (17), 23-Май-26, 00:41 Скрыто ботом-модератором +/–

типа зонды от своей габни анус не жмут? или какая тут логика про российского разраба.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

18. Сообщение от Аноним (1), 23-Май-26, 01:00 +/–

Да, но теперь их блокируют у нас изнутри:
https://aws.amazon.com/ru/
https://www.cloudflare.com
Что головняка добавляет ещё больше...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 22-Май-26, 22:58	+1 +/–
>Сформированы корректирующие выпуски nginx 1.31.1 и 1.30.2 А сколько тех кто не обновляется... https://w3techs.com/technologies/overview/web_server
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15

2. Сообщение от Аноним (2), 22-Май-26, 23:03	+/–
Наружу надо выставлять HAProxy, даже без балансировки. Имеем разгрузку SSL и Zlib, плюс фильтрация WAF.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

3. Сообщение от Аноним (7), 22-Май-26, 23:09 Скрыто ботом-модератором	+3 +/–
Надеюсь тут нет никого кто считает что это случайность и никакой организации из трёх букв за этим нет стоит. Это все же технический сайт, а не первый канал.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6, #8

4. Сообщение от Аноним (10), 22-Май-26, 23:09	+1 +/–
Тем временем в прошлом месяце уже вторая контора с которой мы работаем (занимаемся бэкенд разработкой) заменила nginx на pingora. Они что-то знают (С).
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #16

5. Сообщение от Аноним (1), 22-Май-26, 23:10	+/–
Ну они хорошо прибавляют: https://github.com/cloudflare/pingora/releases
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (1), 22-Май-26, 23:11	+/–
>и никакой организации из трёх букв за этим нет стоит ркн ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

7. Сообщение от Аноним (7), 22-Май-26, 23:11	–3 +/–
Забавно как все сервера в мире имели уязвимость наружу, которая при некоторых задач и использовании данного модуля делала из серверов по факту большой источник данных для некоторых организаций. А ещё больше смешны люди которые думали что полностью в безопасности использую nginx от российского разработчика.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #10, #17

8. Сообщение от Аноним (10), 22-Май-26, 23:14	+2 +/–
Есть. Даже напротив - скорее всего тут ты один считаешь что некая организация будет добавлять баги в nginx чтобы тот только при использовании rewrite из-под своего сраного www мог ничего злонамеренного не сделать, когда вокруг столько сишных дуршлагов с большими привилегиями, при том что такие баги для сишного кода практически гарантированы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #14

9. Сообщение от Аноним (9), 22-Май-26, 23:15	+1 +/–
>уязвимость затрагивает системы с перекрывающимися шаблонами вопрос в каких популярных цмсочках такое идет по дефолту
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11

10. Сообщение от Аноним (10), 22-Май-26, 23:21	–3 +/–
Во-первых, nginx давно уже не от российского разработчика. Во-вторых, nginx используется везде, и будь в дырках виновата контора из 3 букв, она делала "из серверов по факту большой источник данных для некоторых организаций" и на своей территории. А я что-то ни в одной конторе КИИ с которыми работал не видел инструкций об ограничении использования nginx.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #13

11. Сообщение от Аноним (10), 22-Май-26, 23:22	+1 +/–
Какое отношение цмсочки имеют к реврайту на nginx?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от Аноним (9), 22-Май-26, 23:38	+1 +/–
Для того чтобы уязвимость, которая "проявляется в конфигурациях с определёнными регулярными выражениями" заработала, именно такие правила должны в конфиге быть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11

13. Сообщение от Аноним (13), 23-Май-26, 00:18	+3 +/–
Версия 0.1.17 вышла в 2005 году. Разработчик, ты не поверишь, тогда был ещё очень даже российский. Ты наверно пока тебе по телевизору не скажут ни во что не поверишь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

14. Сообщение от Аноним (13), 23-Май-26, 00:20	+/–
> Есть. Даже напротив - скорее всего тут ты один считаешь что некая > организация будет добавлять баги в nginx чтобы тот только при использовании > rewrite из-под своего сраного www мог ничего злонамеренного не сделать, когда > вокруг столько сишных дуршлагов с большими привилегиями, при том что такие > баги для сишного кода практически гарантированы. Действительнл такие как ты никогда не вымрут. Эдик Сноудкн зря метал бисер перед людьми, которые не способны понять простых вещей.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

15. Сообщение от Аноним (15), 23-Май-26, 00:27	+/–
То самое чувство, когда мне раньше говорили, что я за AWS просто так плачу и проще "свое".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #18

16. Сообщение от Soltek (?), 23-Май-26, 00:37 Скрыто ботом-модератором	+/–
Жалкая реклама поделки на расте которой пользуются 2.5 анонимуса
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

17. Сообщение от Аноним (17), 23-Май-26, 00:41 Скрыто ботом-модератором	+/–
типа зонды от своей габни анус не жмут? или какая тут логика про российского разраба.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7

18. Сообщение от Аноним (1), 23-Май-26, 01:00	+/–
Да, но теперь их блокируют у нас изнутри: https://aws.amazon.com/ru/ https://www.cloudflare.com Что головняка добавляет ещё больше...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15