forum.opennet.ru - "Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика" (16)

"Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Nginx 1.29.4 с устранением уязвимости. Атаки, меняющие настройки nginx для перенаправления трафика"	+/–
Сообщение от opennews (??), 05-Фев-26, 20:07
Сформирован выпуск основной ветки nginx 1.29.5, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.28.2, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранена уязвимость (CVE-2026-1642), позволяющая атакующему, имеющему возможность вклиниться (MITM) в канал связи между nginx и upstream-сервером, подставить отправляемые клиенту ответы. Проблема затрагивает конфигурации, проксирующие запросы (HTTP 1.x, HTTP/2, gRPC или uWSGI) к вышестоящему серверу с использованием TLS-шифрования... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64747
Ответить \| Правка \| Cообщить модератору

Оглавление

А почему React приложение имеет доступ к конфигурации nginx Оно же вроде под от, FSA (ok), 20:26 , 05-Фев-26, (2) +1

Получали доступ к панели управления хостингом , Аноним (3), 20:32 , 05-Фев-26, (3)

Ааа, блин, читаю книгу, вижу фигу Точно , FSA (ok), 20:54 , 05-Фев-26, (11) +2
И что это меняет Уязвимость в react SSR, то есть там какой-то NextJS крутится, , Аноним (25), 08:37 , 06-Фев-26, (25) +1

Ну значит положили в очередь задание на изменение конфигурации nginx делов-т, 1 (??), 09:10 , 06-Фев-26, (28) +3

Так, я не понял, после обновления nginx надо проверить все его конфиги на предме, Rev (ok), 20:33 , 05-Фев-26, (4) –2

Желательно всегда это делать, и не только с nginx , Аноним (7), 20:44 , 05-Фев-26, (7) +2
У Вас панель управления хостингом на Реакте , КО (?), 09:05 , 06-Фев-26, (26)

Как быстро в Дебиане это исправят , ebassi (?), 07:16 , 06-Фев-26, (22)

https security-tracker debian org tracker CVE-2026-1642Скоро узнаем, Аноним (24), 08:16 , 06-Фев-26, (24)
Что пнель управления Nginx на Реакте или возможность влезть между Nginx и сервер, КО (?), 09:08 , 06-Фев-26, (27)

А chattr i и правильные права владелец на конфиги не спасает , Аноним (30), 09:29 , 06-Фев-26, (30)

И для чего тогда панель управления на React , 1 (??), 10:12 , 06-Фев-26, (31) +1

Вообще то это очень интересный подход, атаковать не сам сервис, доступ к его ко, Аноним (32), 10:13 , 06-Фев-26, (32) +1
Скрыто модератором, Аноним (33), 15:35 , 06-Фев-26, (33)
Ну да, куда вам ECH, не положено , Аноним (34), 19:27 , 06-Фев-26, (34)

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от FSA (ok), 05-Фев-26, 20:26 +1 +/–

А почему React приложение имеет доступ к конфигурации nginx? Оно же вроде под отдельным пользователем должно было быть, а сам nginx работает под отдельным пользователем.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от Аноним (3), 05-Фев-26, 20:32 +/–

Получали доступ к панели управления хостингом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11, #25

4. Сообщение от Rev (ok), 05-Фев-26, 20:33 –2 +/–

Так, я не понял, после обновления nginx надо проверить все его конфиги на предмет изменения?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7, #26

7. Сообщение от Аноним (7), 05-Фев-26, 20:44 +2 +/–

Желательно всегда это делать, и не только с nginx.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

11. Сообщение от FSA (ok), 05-Фев-26, 20:54 +2 +/–

Ааа, блин, читаю книгу, вижу фигу. Точно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

22. Сообщение от ebassi (?), 06-Фев-26, 07:16 +/–

Как быстро в Дебиане это исправят?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24, #27

24. Сообщение от Аноним (24), 06-Фев-26, 08:16 +/–

https://security-tracker.debian.org/tracker/CVE-2026-1642
Скоро узнаем

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

25. Сообщение от Аноним (25), 06-Фев-26, 08:37 +1 +/–

И что это меняет? Уязвимость в react SSR, то есть там какой-то NextJS крутится, который делает серверный пререндеринг React. То, что бэкенд, который вносит изменения в конфигурацию nginx, крутится под тем же пользователем - это, мягко скажем, неосмотрительно (или они это вообще в NextJS засунули? Ну тогда вообще феерично). А в идеале, даже бэкенд должен просто класть задачи в очередь, а демон, который обновляет конфигурацию, выполняет задания из очереди. Так вообще можно разнести саму панель и управляемые ей сервера.
Впрочем, для писателей панелей такой примитивный подход - это типично. Те, кто умеют пользоваться хотя бы puppet или, там, cfengine, панели не пишут, им оно не надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #28

26. Сообщение от КО (?), 06-Фев-26, 09:05 +/–

У Вас панель управления хостингом на Реакте?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

27. Сообщение от КО (?), 06-Фев-26, 09:08 +/–

Что пнель управления Nginx на Реакте или возможность влезть между Nginx и сервером приложений?
В первом случае - ССЗБ, во втором этот контур лучше вообще держать недоступным для третьих лиц.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

28. Сообщение от 1 (??), 06-Фев-26, 09:10 +3 +/–

Ну значит положили в очередь задание на изменение конфигурации nginx ... делов-то.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

30. Сообщение от Аноним (30), 06-Фев-26, 09:29 +/–

А chattr +i и правильные права/владелец на конфиги не спасает ?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

31. Сообщение от 1 (??), 06-Фев-26, 10:12 +1 +/–

И для чего тогда "панель управления на React" ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

32. Сообщение от Аноним (32), 06-Фев-26, 10:13 +1 +/–

Вообще то это очень интересный подход, атаковать не сам сервис, доступ к его конфигурации, а под это могут попасть не только веб-сервера...

Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (33), 06-Фев-26, 15:35 Скрыто ботом-модератором +/–

Спрашивал у Сысоева. Ему покуйна всех вас.

Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (34), 06-Фев-26, 19:27 +/–

> снижен с "crit" до "info" уровень логгирования SSL-ошибок "ech_required"
Ну да, куда вам ECH, не положено.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от FSA (ok), 05-Фев-26, 20:26	+1 +/–
А почему React приложение имеет доступ к конфигурации nginx? Оно же вроде под отдельным пользователем должно было быть, а сам nginx работает под отдельным пользователем.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3

3. Сообщение от Аноним (3), 05-Фев-26, 20:32	+/–
Получали доступ к панели управления хостингом.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #11, #25

4. Сообщение от Rev (ok), 05-Фев-26, 20:33	–2 +/–
Так, я не понял, после обновления nginx надо проверить все его конфиги на предмет изменения?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7, #26

7. Сообщение от Аноним (7), 05-Фев-26, 20:44	+2 +/–
Желательно всегда это делать, и не только с nginx.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

11. Сообщение от FSA (ok), 05-Фев-26, 20:54	+2 +/–
Ааа, блин, читаю книгу, вижу фигу. Точно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

22. Сообщение от ebassi (?), 06-Фев-26, 07:16	+/–
Как быстро в Дебиане это исправят?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #24, #27

24. Сообщение от Аноним (24), 06-Фев-26, 08:16	+/–
https://security-tracker.debian.org/tracker/CVE-2026-1642 Скоро узнаем
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22

25. Сообщение от Аноним (25), 06-Фев-26, 08:37	+1 +/–
И что это меняет? Уязвимость в react SSR, то есть там какой-то NextJS крутится, который делает серверный пререндеринг React. То, что бэкенд, который вносит изменения в конфигурацию nginx, крутится под тем же пользователем - это, мягко скажем, неосмотрительно (или они это вообще в NextJS засунули? Ну тогда вообще феерично). А в идеале, даже бэкенд должен просто класть задачи в очередь, а демон, который обновляет конфигурацию, выполняет задания из очереди. Так вообще можно разнести саму панель и управляемые ей сервера. Впрочем, для писателей панелей такой примитивный подход - это типично. Те, кто умеют пользоваться хотя бы puppet или, там, cfengine, панели не пишут, им оно не надо.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #28

26. Сообщение от КО (?), 06-Фев-26, 09:05	+/–
У Вас панель управления хостингом на Реакте?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

27. Сообщение от КО (?), 06-Фев-26, 09:08	+/–
Что пнель управления Nginx на Реакте или возможность влезть между Nginx и сервером приложений? В первом случае - ССЗБ, во втором этот контур лучше вообще держать недоступным для третьих лиц.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22

28. Сообщение от 1 (??), 06-Фев-26, 09:10	+3 +/–
Ну значит положили в очередь задание на изменение конфигурации nginx ... делов-то.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

30. Сообщение от Аноним (30), 06-Фев-26, 09:29	+/–
А chattr +i и правильные права/владелец на конфиги не спасает ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #31

31. Сообщение от 1 (??), 06-Фев-26, 10:12	+1 +/–
И для чего тогда "панель управления на React" ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #30

32. Сообщение от Аноним (32), 06-Фев-26, 10:13	+1 +/–
Вообще то это очень интересный подход, атаковать не сам сервис, доступ к его конфигурации, а под это могут попасть не только веб-сервера...
Ответить \| Правка \| Наверх \| Cообщить модератору

33. Сообщение от Аноним (33), 06-Фев-26, 15:35 Скрыто ботом-модератором	+/–
Спрашивал у Сысоева. Ему покуйна всех вас.
Ответить \| Правка \| Наверх \| Cообщить модератору

34. Сообщение от Аноним (34), 06-Фев-26, 19:27	+/–
> снижен с "crit" до "info" уровень логгирования SSL-ошибок "ech_required" Ну да, куда вам ECH, не положено.
Ответить \| Правка \| Наверх \| Cообщить модератору