NGINX 修補兩個 CVSS 9.2 高危漏洞:HTTP/3 釋放後使用與 HTTP/2 堆疊緩衝區溢位
nginx.org · 2026-06-17
2026 年 6 月 17 日,F5 緊急發布帶外修補,針對 NGINX 開源版本中兩個獨立的高危漏洞 CVE-2026-42530 與 CVE-2026-42055,兩者 CVSS v4.0 評分均為 9.2,均可由未經驗證的遠端攻擊者觸發。受影響系統涵蓋大量以 NGINX 作為反向代理或 API 閘道的基礎設施,各主要 Linux 發行版已於 6 月 22–23 日跟進推送對應安全更新。
漏洞機制
CVE-2026-42530 屬於 HTTP/3 QUIC 模組中的釋放後使用(Use-After-Free,CWE-416)漏洞。攻擊者透過精心構造的 QUIC 連線重新開啟 QPACK 編碼器串流(encoder stream),使工作程序(worker process)保有一個指向已釋放記憶體的指標,進而觸發記憶體損毀。最直接的後果是工作程序崩潰重啟(DoS),而在停用 ASLR 的環境中,則可能進一步達成任意程式碼執行(RCE)。
CVE-2026-42055 是 ngx_http_proxy_v2_module 與 ngx_http_grpc_module 中的堆疊緩衝區溢位(CWE-122)。當同時滿足三個非預設條件:設定了 grpc_pass 或 proxy_http_version 2、停用 ignore_invalid_headers,且 large_client_header_buffers 超過 2 MB 時,攻擊者可送出特製 HTTP/2 上游請求觸發溢位。預設設定下的 NGINX 部署不受此漏洞影響,但三項非預設組合在生產環境中並不罕見。
受影響版本
- CVE-2026-42530:NGINX Open Source 1.31.0、1.31.1(需啟用 HTTP/3 QUIC)
- CVE-2026-42055:NGINX Open Source 1.13.10–1.31.1;Stable 分支 1.30.0–1.30.2
- NGINX Plus R36(含)以前,以及 R37 至 37.0.2.0 亦受
CVE-2026-42055影響 - Red Hat Enterprise Linux 9 已透過 RHSA-2026:19374(Critical 等級)提供 nginx-1.20.1-28.el9_8.2 更新
- Ubuntu 多個 LTS 版本受
CVE-2026-49975(max_headers DoS,CVSS 7.5)影響,已透過 USN-8398-3 完整修復
| CVE | 模組 | 類型 | CVSS v4 | 修補版本 |
|---|---|---|---|---|
CVE-2026-42530 | ngx_http_v3_module | Use-After-Free | 9.2 (Major) | 1.31.2+ |
CVE-2026-42055 | proxy_v2 / grpc | Heap Buffer Overflow | 9.2 (Medium) | 1.31.2+ / 1.30.3+ |
CVE-2026-48142 | ngx_http_charset_module | Buffer Overread | Low | 1.31.2+ / 1.30.3+ |
CVE-2026-49975 | core (max_headers) | Memory DoS | 7.5 (High) | 1.29.8+ / Ubuntu USN-8398-3 |
修補與緩解
最直接的修補方式是將 NGINX Open Source 升級至 1.31.2(Mainline)或 1.30.3(Stable)。NGINX Plus 使用者應升級至 R36 P6 或 R37 37.0.2.1 以上版本。若短期內無法升級,可採取下列設定層面的緩解措施:
- 針對
CVE-2026-42530:從listen指令中移除quic參數,或刪除http3 on;設定以停用 HTTP/3 - 針對
CVE-2026-42055:恢復ignore_invalid_headers on;預設值,或確認large_client_header_buffers不超過 2 MB - 在網路層面限制 QUIC(UDP/443)的存取來源,縮小
CVE-2026-42530的暴露面
# 停用 HTTP/3(緩解 CVE-2026-42530)
server {
listen 443 ssl;
# 移除下列兩行即可停用 HTTP/3
# listen 443 quic reuseport;
# http3 on;
}
# 確認 HTTP/2 代理設定(緩解 CVE-2026-42055)
http {
ignore_invalid_headers on; # 保持預設值
large_client_header_buffers 4 8k; # 不超過 2 MB
}原始來源:nginx security advisories · SecurityOnline(2026-06-19) · IONIX CVE-2026-42530(2026-06-17) · RHSA-2026:19374
Tor 0.4.8 正式進入終止支援倒數:2026 年 9 月 1 日前必須升級至 0.4.9
Tor Project Blog · 2026-06-23
2026 年 6 月 23 日,Tor Project 正式宣告將於 2026 年 9 月 1 日終止對 C 語言實作的 Tor 0.4.8 及更早版本的網路相容性支援,屆時這些版本將無法再連上 Tor 網路。此次公告緊接在 Tor 0.4.8.x 於 6 月 1 日到達生命終止(End of Life)之後發出,代表維護者已停止為舊版本提供任何安全修補。
背景
Tor 0.4.9 穩定版已於 2026 年 2 月發布,帶來對目錄協定(directory protocol)的重大改動。最核心的技術決策是移除目錄資料中兩個長期廢棄的欄位:TAP onion keys(舊式洋蔥金鑰)與 family lines(中繼家族行)。根據官方公告,移除這些欄位將「為所有使用者節省大量用戶端目錄頻寬」,並顯著加快網路自舉(bootstrapping)速度,對處於頻寬受限環境的使用者尤為明顯。
Tor Project 內部正在推進以 Rust 語言重寫的 Arti 中繼實作(Arti Relay project)。Arti 目錄授權機構(directory authority)的實作需整合至現有網路,若繼續維護對廢棄欄位的相容層,撰寫成本將大幅上升。因此,本次強制升級時間表同時服務於技術負債清除與新架構的平滑遷移兩個目的。
核心改動
當 0.4.9 版目錄授權機構停止在描述符中附上 TAP onion keys 後,所有期待此欄位存在的舊版用戶端與中繼節點將發生解析失敗,進而斷線。TAP(Tor Authentication Protocol)是已被 ntor 協定取代的舊式握手機制,其金鑰在現代 Tor 流量中早已不再使用,但欄位本身仍被舊版軟體作為存在性檢查。Family lines 的情況類似:舊式中繼家族宣告格式已由更新機制取代,繼續維護舊格式只會增加目錄伺服器的資料量,卻沒有任何安全或功能效益。
Tor Browser 的一般使用者不受此次變更影響,因為 Tor Browser 已隨附經常更新的 Tor 程式庫,且 Tails 7.0 等知名隱私發行版亦已完成升級。主要受影響的族群是直接嵌入 C Tor(libtor)的第三方應用程式開發者,以及仍在執行未更新中繼節點(relay)的系統管理員。
影響範圍
- Tor 0.4.8.x 及更早的 C Tor 版本:2026-09-01 後無法連接 Tor 網路
- 嵌入舊版 libtor 的 onion service 應用程式:服務中斷風險
- 未更新的中繼節點(relay):將被排除於網路共識(consensus)之外
- Tor Browser 最新版使用者:不受影響
- Tails 7.0 及其他已更新發行版使用者:不受影響
Tor Project 呼籲所有中繼節點運營者與應用程式整合方立即將 C Tor 升級至 0.4.9.x 或以上版本,最晚不得晚於 2026 年 8 月底。對於考慮長期維護路線圖的組織,此次遷移亦是評估轉向 Arti Rust 實作的合適切入點,Arti 已在部分測試場景中展現出優於 C Tor 的效能與記憶體安全特性。
主流 Linux 發行版集中推送安全更新:核心、OpenSSH、PostgreSQL、Redis 同步修補
LWN.net · 2026-06-23
2026 年 6 月 22 至 23 日,Debian、Fedora、Red Hat、Oracle Linux、SUSE、Ubuntu 及 Mageia 等主流 Linux 發行版集中推送安全更新,涉及 Linux 核心(kernel)、OpenSSH、nginx、PostgreSQL、Redis、Firefox 及多項容器工具鏈元件。此波更新反映了六月中旬以來上游修補活動的累積,其中以 nginx 的兩個 CVSS 9.2 漏洞最受矚目。
背景
此次更新潮的核心觸發點之一是 nginx 的帶外緊急修補,F5 於 6 月 17 日針對 CVE-2026-42530(HTTP/3 use-after-free)與 CVE-2026-42055(HTTP/2 heap buffer overflow)釋出 1.31.2 版本,各發行版隨即將修補版本納入各自的安全更新管道。Red Hat 以 RHSA-2026:19374(Critical 等級)為 RHEL 9 提供更新;Ubuntu 則透過 USN-8398 系列處理 nginx 相關問題,其中初版修補因引入 ABI 中斷造成回歸,最終由 USN-8398-3 完整修復。
OpenSSH 的安全更新出現在 SUSE/openSUSE 與 Oracle Linux 的通告中,這在歷次安全修補週期均受到高度關注,因為 OpenSSH 是幾乎所有伺服器遠端管理的核心路徑。Linux 核心更新本次涵蓋三個雲端或嵌入式最佳化版本:Azure 最佳化版(linux-azure)、Intel IoT 閘道版(linux-intel-iotg)及 Oracle 客製版,顯示出雲端與邊緣運算環境持續面臨的核心層攻擊面壓力。
核心改動
Ubuntu 的 nginx 修補歷程具有警示意義:針對 CVE-2026-49975(記憶體分配過大導致 DoS,CVSS 7.5)的初版修補引入了 max_headers 指令,預設值為 1000,但實作造成 ABI 中斷,使使用外部模組的部署發生崩潰,必須透過後續更新 USN-8398-3 提供完整修復。這說明在快速因應高危漏洞時,修補本身引入回歸的風險同樣需要納入評估。
Fedora 本次更新範圍涵蓋 Python 3、erlang、prometheus、tigervnc、vips 及 thorvg,顯示出現代發行版套件依賴圖的複雜性——單一上游安全修補往往牽動多個下游套件的協調更新。Red Hat 方面額外修補了容器工具鏈(podman、skopeo)與 Go 除錯工具(delve),反映出對容器化工作負載安全性的持續重視。
影響範圍
- Debian:ffmpeg(DSA-6361-1)
- Fedora:erlang、ffmpeg、prometheus、python-scrapy、python3、thorvg、tigervnc、vips
- Red Hat RHEL 9:nginx(Critical,RHSA-2026:19374)、delve、podman、skopeo、yggdrasil
- Oracle Linux:kernel、Firefox、PostgreSQL、Redis、OpenSSH、dracut、hplip
- SUSE/openSUSE:kernel、openssh、openvswitch、postfix、python packages、util-linux
- Ubuntu:linux-azure、linux-intel-iotg、linux-oracle、MySQL、nginx(USN-8398 系列)、haproxy、libxml2、google-guest-agent
- Mageia:mumble、sslh
系統管理員應優先處理 nginx 與 OpenSSH 的更新,其次是各平台的核心更新(尤其雲端最佳化版本)。PostgreSQL 與 Redis 的更新亦應在下一個維護視窗內完成,以避免資料庫層面的潛在漏洞暴露。各套件的詳細更新指令與版本編號可參閱各發行版官方安全公告頁面。
原始來源:LWN.net — Security updates for Tuesday(2026-06-23) · RHSA-2026:19374