Разработчики F5 выпустили внеплановые обновления для NGINX, закрывающие сразу две критические уязвимости, которые позволяли удаленно выполнить произвольный код. Проблемы получили статус критических, так как при определенных условиях атакующий мог получить полный контроль над сервером.Обе уязвимости связаны с обработкой некорректных HTTP-запросов в модуле NGINX. Первая проблема возникает при парсинге специально сформированных заголовков, что приводит к переполнению буфера. Вторая — затрагивает механизм обработки HTTP/2 и позволяет вызвать повреждение памяти.Для эксплуатации этих уязвимостей злоумышленнику требуется возможность отправлять вредоносные запросы на целевой сервер. При успешной атаке это приводит к удаленному выполнению кода с правами процесса NGINX, что в большинстве конфигураций означает доступ к системным ресурсам.Проблемы затрагивают все актуальные версии NGINX, включая Open Source и NGINX Plus. Пользователям настоятельно рекомендуется обновить ПО до последних версий, так как эксплойты для этих уязвимостей уже могут быть разработаны.F5 не раскрывает детали атак до момента, пока большинство пользователей не установят патчи. Учитывая критичность и широкое распространение NGINX, администраторам серверов стоит немедленно провести обновление, чтобы избежать компрометации инфраструктуры.