## NGINX 漏洞 CVE-2026-42945 緊急修復全攻略
NGINX 最近爆咗個大鑊 —— CVE-2026-42945,一個潛伏咗足足 18 年嘅 heap buffer overflow 漏洞。呢個 NGINX 漏洞 CVSS 評分高達 9.2 分,影響版本由 0.6.27 去到 1.30.0,基本上你公司用緊嘅 NGINX 十居其九都中招。最得人驚嘅係,VulnCheck 已經確認有 hackers 喺野外大規模利用呢個 NGINX 漏洞,導致 worker process crash 甚至 remote code execution。
👉 延伸閱讀:Linux Server 安全加固 6 步搞掂 — Defense in Depth 實戰指南
今次同大家 step-by-step 示範點樣檢查自己嘅 NGINX 係咪中招,同埋點樣快速修復呢個 NGINX 漏洞。
### 第一步:檢查你嘅 NGINX 版本
首先,你要確認自己嘅 NGINX 版本係咪喺受影響範圍內。打開 terminal,行以下 command:
nginx -v如果 output 顯示版本介乎 0.6.27 至 1.30.0 之間,咁你就中咗 NGINX 漏洞。例如:
nginx version: nginx/1.26.2呢個版本係有 NGINX 漏洞嘅,要即刻升級。
### 第二步:確認 ngx_http_rewrite_module 係咪啟用
呢個 NGINX 漏洞根源喺 rewrite module,所以你要確認佢有冇 compile 入去:
nginx -V 2>&1 | grep --color=always http_rewrite_module如果有 output 就代表 rewrite module 已啟用,即係 NGINX 漏洞嘅攻擊面存在。
### 第三步:升級 NGINX 修復 NGINX 漏洞
官方已經出咗 patch,你要將 NGINX 升級到最新版本。Ubuntu/Debian 用家:
sudo apt update
sudo apt install --only-upgrade nginxRHEL/CentOS/Rocky Linux 用家:
sudo yum update nginxDocker 用家就要 rebuild image:
docker pull nginx:latest
docker-compose down && docker-compose up -d升級完之後,再確認 NGINX 漏洞已經修復:
nginx -v
# 應該顯示 1.31.0 或以上### 第四步:檢查 NGINX 漏洞攻擊跡象
就算你已經 fix 咗,都要 check 下有冇俾人搞過。睇下 error log 有冇異常:
sudo tail -100 /var/log/nginx/error.log | grep -i "buffer\|overflow\|segfault"如果有大量 segfault 或者 buffer overflow 相關 error,你可能已經俾人 probe 過。建議再深入檢查:
sudo grep -c "signal 11" /var/log/nginx/error.log### 第五步:NGINX 漏洞暫時緩解措施(未升級前)
如果未能夠即刻升級,可以用以下 config 暫時限制 NGINX 漏洞影響範圍。喺 nginx.conf 入面加:
http {
# 限制 rewrite directive 處理嘅 input size
client_header_buffer_size 1k;
large_client_header_buffers 2 1k;
}然後 reload:
sudo nginx -t && sudo nginx -s reload⚠️ 呢個只係暫時性措施,唔可以取代升級。NGINX 漏洞嘅根本修復一定要靠 patch。
### 總結
呢個 NGINX 漏洞潛伏 18 年先俾人發現,證明 infrastructure security 永遠唔可以鬆懈。CVE-2026-42945 嘅 CVSS 9.2 分加上已經有 in-the-wild exploitation,絕對係而家最緊急要處理嘅 threat。記住三個重點:檢查版本 → 升級 patch → 檢查攻擊跡象。
唔好拖!你公司嘅 NGINX server 可能已經俾人 scan 緊。
#NGINX #CVE202642945 #Infosec #WebServer
