許多工程師將 NGINX 視為極其穩定且安全的 Web Server,但近期披露的一個代號為 NGINX Rift 的漏洞(CVE-2026-42945)打破了這個印象。這個漏洞竟然在 ngx_http_rewrite_module 模組中潛伏了 18 年,且其危險程度極高,允許未經身分驗證的攻擊者直接達成遠端程式碼執行(Remote Code Execution, RCE)。
理解漏洞成因:Rewrite 模組與記憶體溢位
首先我們要理解 NGINX 的 Rewrite 模組是用來處理 URL 重寫的,它經常使用 PCRE(Perl-Compatible Regular Expressions,一種強大的正規表達式標準)來匹配請求路徑並將其替換為新路徑。
這次的漏洞發生在特定的設定組合中:當 rewrite 指令後面緊接著 rewrite、if 或 set 指令,且在替換字串中使用了未命名擷取群組(Unnamed Capture,例如 $1、$2 這種用來引用正規表達式匹配結果的變數),且該替換字串中包含問號(?)時,就會觸發問題。
從底層來看,這是一個 Heap Buffer Overflow(堆積緩衝區溢位)。簡單來說,當 NGINX 處理這種特殊構造的請求時,程式寫入記憶體的位置超過了原本配置的緩衝區邊界。因為溢出的內容是由攻擊者透過 URI(統一資源標識符)控制的,這意味著攻擊者可以精準地操縱記憶體中的數據,而不是隨機的崩潰。
漏洞的實際影響與攻擊路徑
對於初級工程師來說,最需要關注的是這個漏洞的觸發條件極低且影響極大。
第一,它不需要身分驗證。攻擊者不需要帳號、不需要 Session,只要能透過 HTTP 訪問到你的 NGINX 伺服器即可。
第二,它能導致兩種結果。最輕微的是導致 NGINX Worker Process(工作進程)崩潰並重啟,造成服務中斷(Denial of Service, DoS)。最嚴重的是,如果伺服器沒有開啟 ASLR(Address Space Layout Randomization,位址空間配置隨機化,一種防止攻擊者預測記憶體位址的安全機制),攻擊者可以直接在伺服器上執行任意指令(RCE)。
第三,由於攻擊者可以透過重複發送請求讓 Worker Process 持續崩潰,這會導致該 NGINX 實例上承載的所有網站都陷入不可用的狀態。
除了主漏洞外,本次更新還修復了其他三個較輕微但仍具風險的漏洞。包括 scgi 與 uwsgi 模組的記憶體過度分配問題(CVE-2026-42946)、SSL 模組的 Use-After-Free(釋放後使用,一種導致記憶體損壞的常見 Bug,CVE-2026-40701),以及 charset 模組的越界讀取(Out-of-bounds read,可能導致記憶體內容洩露,CVE-2026-42934)。
工程實務上的對策
面對此類漏洞,最根本的解決辦法是更新版本。NGINX Open Source 應更新至 1.30.1 或 1.31.0 以上版本;NGINX Plus 則需檢查對應的 Patch 版本。
如果你目前因為環境限制無法立即更新伺服器版本,可以採取臨時的緩解措施:檢查你的 NGINX 設定檔,將所有 affected rewrite 指令中的未命名擷取群組(如 $1, $2)改為具名擷取群組(Named Captures,例如使用 ?<name> 語法)。這樣可以避開觸發該溢位路徑的特定邏輯。
總結來說,這次事件提醒我們,即使是經過全球數千萬台伺服器驗證的成熟開源軟體,其核心邏輯中仍可能隱藏長達數十年的漏洞。維護基礎設施時,保持版本更新與對設定檔的審查至關重要。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。