"Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика" | +/– |  |
| Сообщение от opennews (??), 05-Фев-26, 20:07 | ||
Сформирован выпуск основной ветки nginx 1.29.5, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.2, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранена уязвимость (CVE-2026-1642), позволяющая атакующему, имеющему возможность вклиниться (MITM) в канал связи между nginx и upstream-сервером, подставить отправляемые клиенту ответы. Проблема затрагивает конфигурации, проксирующие запросы (HTTP 1.x, HTTP/2, gRPC или uWSGI) к вышестоящему серверу с использованием TLS-шифрования... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по времени | RSS] |
| 2. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +1 +/– |  |
| Сообщение от FSA (ok), 05-Фев-26, 20:26 | ||
А почему React приложение имеет доступ к конфигурации nginx? Оно же вроде под отдельным пользователем должно было быть, а сам nginx работает под отдельным пользователем. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 3. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +/– | |
| Сообщение от Аноним (3), 05-Фев-26, 20:32 | ||
Получали доступ к панели управления хостингом. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 11. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +2 +/– | |
| Сообщение от FSA (ok), 05-Фев-26, 20:54 | ||
Ааа, блин, читаю книгу, вижу фигу. Точно. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 25. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +1 +/– | |
| Сообщение от Аноним (25), 06-Фев-26, 08:37 | ||
И что это меняет? Уязвимость в react SSR, то есть там какой-то NextJS крутится, который делает серверный пререндеринг React. То, что бэкенд, который вносит изменения в конфигурацию nginx, крутится под тем же пользователем - это, мягко скажем, неосмотрительно (или они это вообще в NextJS засунули? Ну тогда вообще феерично). А в идеале, даже бэкенд должен просто класть задачи в очередь, а демон, который обновляет конфигурацию, выполняет задания из очереди. Так вообще можно разнести саму панель и управляемые ей сервера. | ||
| Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору | ||
| ||
| 28. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +3 +/– | |
| Сообщение от 1 (??), 06-Фев-26, 09:10 | ||
Ну значит положили в очередь задание на изменение конфигурации nginx ... делов-то. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 4. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | –2 +/– |  |
| Сообщение от Rev (ok), 05-Фев-26, 20:33 | ||
Так, я не понял, после обновления nginx надо проверить все его конфиги на предмет изменения? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 7. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +2 +/– | |
| Сообщение от Аноним (7), 05-Фев-26, 20:44 | ||
Желательно всегда это делать, и не только с nginx. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 26. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +/– | |
| Сообщение от КО (?), 06-Фев-26, 09:05 | ||
У Вас панель управления хостингом на Реакте? | ||
| Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору | ||
| 22. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +/– | |
| Сообщение от ebassi (?), 06-Фев-26, 07:16 | ||
Как быстро в Дебиане это исправят? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 24. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +/– | |
| Сообщение от Аноним (24), 06-Фев-26, 08:16 | ||
https://security-tracker.debian.org/tracker/CVE-2026-1642 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 27. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +/– | |
| Сообщение от КО (?), 06-Фев-26, 09:08 | ||
Что пнель управления Nginx на Реакте или возможность влезть между Nginx и сервером приложений? | ||
| Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору | ||
| 30. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +/– | |
| Сообщение от Аноним (30), 06-Фев-26, 09:29 | ||
А chattr +i и правильные права/владелец на конфиги не спасает ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 31. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +1 +/– | |
| Сообщение от 1 (??), 06-Фев-26, 10:12 | ||
И для чего тогда "панель управления на React" ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 32. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +1 +/– | |
| Сообщение от Аноним (32), 06-Фев-26, 10:13 | ||
Вообще то это очень интересный подход, атаковать не сам сервис, доступ к его конфигурации, а под это могут попасть не только веб-сервера... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 34. "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настр..." | +/– | |
| Сообщение от Аноним (34), 06-Фев-26, 19:27 | ||
> снижен с "crit" до "info" уровень логгирования SSL-ошибок "ech_required" | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
