Fast jeder zweite Webserver der Welt läuft auf NGINX — und jetzt steckt in seinem Code eine Lücke, die seit 2008 mitgeschleppt wurde. Threat-Landscape-Forscher haben den Bug aufgespürt, der jetzt unter CVE-2026-42945 mit CVSS 9.2 öffentlich gemacht ist.
UNGLAUBLICH: 18 Jahre unter dem Radar
Der Bug ist ein klassischer Heap-Buffer-Overflow in der Verarbeitung gewisser HTTP-Header-Konstellationen. Heißt: Ein Angreifer schickt einen präparierten HTTP-Request, NGINX schreibt mehr in den Heap als geplant — und in dieser Lücke lässt sich Schadcode platzieren.
Was den Fall so brisant macht: Es braucht keine Authentifizierung, kein gültiges Login, keinen besonderen User. Wer Internet-erreichbares NGINX betreibt, ist ein potenzielles Ziel.
SCHOCK: Welche Versionen haben die Lücke?
Praktisch alle. Da der Code seit 2008 unverändert mitläuft, sind NGINX-Stable und Mainline gleichermaßen anfällig. Patches sind jetzt verfügbar:
- NGINX Mainline: Update auf die neueste Mainline-Version (Mai-Patch)
- NGINX Stable: Backport in der jeweiligen Stable-Linie
- NGINX Plus: R34 P1 und R35 enthalten den Fix
- OpenResty: Patch im Mai-Release
- Distributionen: Debian, Ubuntu, Alpine, RHEL/Rocky/Alma rollen die Backports gerade aus
So checkst DU deine Version in 30 SEKUNDEN
nginx -v
# Sollte mindestens den aktuellen Stable- oder Mainline-Stand zeigen
# Bei Distro-NGINX: Patch-Level pruefen
apt-cache policy nginx # Debian/Ubuntu
rpm -q nginx # RHEL/Rocky/Alma
apk info -e nginx # AlpineFindest du eine ältere Version: Update einplanen, Reload statt Reboot reicht. Bei einem Cluster lohnt es sich, mit einem Knoten anzufangen und Health-Checks zu beobachten.
GEFAHR! WordPress-Hoster mit Multi-Tenant sind Top-Ziel
Wer Managed-WordPress oder Shared-Hosting auf NGINX laufen lässt, ist besonders interessant für Angreifer: Eine erfolgreiche RCE in NGINX bedeutet potenziell Zugriff auf alle Tenants auf dem Knoten. Hoster wie Hetzner, Strato, IONOS und All-Inkl haben in der Regel innerhalb von Stunden ihre Patches ausgerollt — eigene Server brauchen aber dein Zutun.
Reverse-Proxies vor Apache, Node, FastAPI oder Go-Backends sind genauso betroffen. Auch wenn die App dahinter sicher ist: Die Lücke sitzt im NGINX, nicht im Backend.
EXTRA-TIPP: WAF als Notbremse
Wenn du das Update nicht sofort einspielen kannst (z. B. Change-Freeze), helfen WAF-Regeln gegen die bekannten Exploit-Pattern:
- ModSecurity: Aktuelle Core Rule Set (CRS) Releases enthalten ab heute eine virtuelle Patch-Regel
- Cloudflare WAF: Managed-Rule für CVE-2026-42945 ist live
- BunkerWeb / OPNsense WAF: Updates folgen in Stunden
WAF ist kein Ersatz für den Patch, sondern Brückentechnologie für die Stunden bis zum Maintenance-Fenster.
FAZIT: NGINX-Patch ist Top-Priorität
18 Jahre alt, CVSS 9.2, kein Auth — diese drei Eigenschaften zusammen sind ein Wartungs-Wochenende wert. Server prüfen, Update einspielen, Logs nach 5xx-Spikes oder verdächtigen User-Agents durchsehen.
Häufige Fragen
Welche NGINX-Versionen sind betroffen?
Wie merke ich, ob mein Server angegriffen wurde?
error.log mit unrealistisch großen Header- oder Body-Sizes. Outbound-Verbindungen, die NGINX normalerweise nicht aufbaut, sind ein Warnsignal.Wie behebe ich das Problem konkret?
nginx -t && nginx -s reload reicht in den meisten Fällen. Bei Hostern Managed-NGINX über das Control-Panel triggern oder beim Support nachfragen.Gab es schon aktive Angriffe?
Quellen: Threat Landscape, NGINX Changelog, Feedly CVE Tracker