NGINX中一个存在了13年的漏洞(CVE-2026-42945),攻击者只需要向暴露的 NGINX 服务器发送特定的 HTTP 请求就有可能远程拿下服务器,受影响版本从 0.6.27 到 1.30.0 。 https://my.f5.com/manage/s/article/K000160932 https://my.f5.com/manage/s/article/K000161019 6 个帖子 - 5 位参与者 阅读完整话题
F5 旗下的 NGINX 是全球使用量极高的反向代理服务器,NGINX 也是全球互联网的关键基础设施,现在安全研究公司披露该软件出现的高危安全漏洞,该漏洞编号为 CVE-2026-42945,NGINX 脚本引擎中存在已经 18 年的堆缓冲区溢出问题。 攻击者只需要向暴露的 NGINX 服务器发送经过精心构造的 HTTP 请求即可远程拿下服务器,NGINX 在全球网站服务器和反向代理核心领域占有率将近 30%,因此这个漏洞可能会波及到海量的互联网服务。 影响 NGINX 本体及多个衍生产品: 该漏洞最初还是在 2008 年发布的 NGINX 0.6.27 版中引入的,之后漏洞长期没有被发现并潜伏到现在,该漏洞影响 NGINX 0.6.27~1.30.0 版,同时也影响 F5 公司向商业客户提供的多种 NGINX 衍生产品。受影响的衍生产品包括但不限于 NGINX WAF、F5 WAF、NGINX Gateway Fabric、NGINX Ingress Controller 等。 而漏洞触发条件非常隐蔽,当 NGINX 配置文件中同时出现如下两种指令时漏洞就会被激活: rewrite ^/api/(.*)$ /internal?migrated=true; # 重写规则末尾带 “?” set $original_endpoint $1; # 使用正则捕获组 发现该漏洞的研究团队指出,漏洞根源在于 ngx_http_rewrite_module 的脚本引擎 (ngx_http_script.c) 中,当重写指令带问号时会设置持久的 is_args 标志,但在后续的 set 指令长度计算阶段,引擎使用的是新的清零的子引擎,这导致长度计算时跳过 URL 转义逻辑。 而实际复制阶段又使用主引擎,触发 ngx_escape_uri 函数对 +、& 等字符进行转义,缓冲区按未转义长度分配却写入膨胀后的内容,最终造成可控的堆缓冲区溢出。 F5 已发布 NGINX 1.31.0/1.30.1 版进行修复: 接到漏洞通报后 F5 很快就确认漏洞,在 F5 准备好修复程序后研究人员公开发布漏洞,所以当前使用 NGINX 及其衍生产品的用户都需要升级到不受影响的最新版,其中开源版的 NGINX 需升级到 1.30.1 版或 1.31.0 版,其他旧版本例如 0.6.27~1.30.0 版均受漏洞影响。 有关其他衍生产品的版本信息请查看 F5 安全公告: https://my.f5.com/manage/s/article/K000160932 查看评论
IT之家 4 月 13 日消息,据电影频道《中国电影报道》官方账号消息, 迪士尼“星战”科幻电影《曼达洛人与古古》确认引进 。本片采用 IMAX 特制拍摄,档期待定。 另外,《曼达洛人与古古》今日还发布了正式版预告。 IT之家查询获悉,科幻电影《曼达洛人与古古》将在 2026 年全球献映, 已定档 2026 年 5 月 22 日在北美上映 。 “曼达洛人”丁・贾伦和“尤达宝宝”古古的星际冒险全面升级,一场意想不到的星际冒险即将启程,“此乃正道”的誓言响彻宇宙,原力将继续与你同在。 本片由“星球大战”热门剧集《曼达洛人》原班人马打造,佩德罗 · 帕斯卡回归饰演 Mando,古古“回归饰演自己”,西格妮 · 韦弗等新加盟出演,杰瑞米 · 艾伦 · 怀特配音贾巴的儿子 Rotta,剧版主创乔恩 · 费儒担任导演。 剧集《曼达洛人第一季》于 2019 年 11 月 12 日在 Disney+ 平台首播。《曼达洛人第二季》于 2020 年 10 月 30 日播出。《曼达洛人第三季》于 2023 年 3 月 1 日播出。《曼达洛人第一季》的时间线设置在帝国陨落后和第一秩序出现前。在远离新共和国掌控的银河系边远星带,讲述一位独行枪手的艰辛奋斗的故事。 IT 之家小伙伴记得用 最会买购买电影票 ,享受折扣价的同时还可以获得返利,预计每张票可以节省 5~15 元!