// LINUX-MAGAZIN — LINUX & OPEN SOURCE
Sicherheitslücken: Nginx braucht Updates
Der Webserver Nginx weist zwei kritische Sicherheitslücken auf. Das Unternehmen F5 schließt diese mit Updates.
Über die von F5 beschriebenen Lücken (CVE-2026-42530 und CVE-2026-42055) lässt sich ein Angriff auf den Webserver ausführen und unter Umständen auch Code einschleusen. Die Aktualisierung auf Nginx 1.31.2 oder 1.30.3 schließt die Lücken.
Beim CVE-2026-42530 steckt das Problem von Nginx Open Source laut Advisory im Modul „ngx_http_v3_module“. Ist Nginx Open Source für die Verwendung des HTTP/3-QUIC-Moduls konfiguriert, kann ein nicht authentifizierter Angreifer aus der Ferne unter bestimmten, außerhalb seiner Kontrolle liegenden Bedingungen mithilfe einer speziell gestalteten HTTP/3-Sitzung einen QPACK-Encoder-Stream erneut öffnen. Dies kann zu einem „Use-After-Free“-Fehler im Nginx-Worker-Prozess führen, was einen Neustart zur Folge hat. Darüber hinaus können Angreifer Code auf Systemen ausführen, auf denen die Adressraum-Layout-Randomisierung (ASLR) deaktiviert ist oder wenn der Angreifer ASLR umgehen kann.
Zudem weisen Nginx Plus und Nginx Open Source eine Sicherheitslücke in den Modulen „ngx_http_proxy_v2_module“ und „ngx_http_grpc_module“ auf. Diese Sicherheitslücke (CVE-2026-42055) tritt laut dem Advisory auf, wenn die Direktiven „proxy_http_version“ auf „2“ oder „grpc_pass“ verwendet werden, um HTTP/2-Datenverkehr zu vermitteln, die Direktive „ignore_invalid_headers“ auf „off“ gesetzt ist und die Größe der Direktive „large_client_header_buffers“ größer als 2 MByte ist. Ein entfernter, nicht authentifizierter Angreifer könnte unter bestimmten, außerhalb seiner Kontrolle liegenden Bedingungen beim Erstellen einer Upstream-Anfrage große Header senden. Dies kann einen heap-basierten Pufferüberlauf im NGINX-Worker-Prozess verursachen, der zu einem Neustart führt. Darüber hinaus können Angreifer Code auf Systemen ausführen, auf denen die Adressraum-Layout-Zufallszuordnung (ASLR) deaktiviert ist oder wenn der Angreifer ASLR umgehen kann.
Eine parteiübergreifende Gruppe von Abgeordneten des Repräsentantenhauses fordert von der Trump-Regierung eine Erklärung dafür, warum sie weitreichende Beschränkungen für die neuesten KI-Modelle von Anthropic verhängt hat – und ob konkurrierende Technologieunternehmen mit einer ähnlichen...
Ein jetzt erschienenes "Tokenminning Manifesto" wendet sich direkt gegen die auch als Tokenmaxxing bekannte Praxis, derzufolge diejenigen als beste Mitarbeiter gelten und belohnt werden, die am meisten KI nutzen.
Laut dem „Worldwide Quarterly Server Tracker“ des US-Marktforschers IDC erreichte der weltweite Servermarkt im ersten Quartal 2026 einen Herstellerumsatz von 122,6 Milliarden US-Dollar.
Der IT-Planungsrat berichtet über zentrale Beschlüsse seiner 50. Sitzung zur Weiterentwicklung des Deutschland-Stacks. Bund und Länder haben sich dabei auf wesentliche Elemente des geplanten digitalen Ökosystems für die öffentliche Verwaltung verständigt.
Nach der offiziellen Veröffentlichung von Android 17 will GrapheneOS sein Android-ROM entsprechend aktualisieren.
Das Arch User Repository (AUR) ist Ziel einer groß angelegten Malware-Kampagne geworden. Angreifer übernahmen zahlreiche verwaiste Paketbeschreibungen ergänzten diese um schädliche Komponenten und veröffentlichten manipulierte Updates.