NGINX의 CVE-2026-42945 취약점이 더 이상 이론에 그치지 않습니다. 실제 환경에서 활성 익스플로잇이 탐지되어 worker 프로세스가 붕괴하며 서비스 거부를 유발하고 있습니다. 잠재적인 원격 코드 실행(RCE) 위험으로 인해 이 결함은 웹 서버 관리자에게 심각한 위협이 되고 있습니다.
NGINX 결함의 기술적 세부 사항 🛡️
취약점은 잘못된 형식의 HTTP 요청 처리에 있습니다. 익스플로잇은 worker의 공유 메모리에서 경쟁 조건을 강제하여 세그멘테이션 폴트를 유발합니다. 주요 공격은 DoS이지만, 연구에 따르면 메모리 손상으로 인해 RCE가 가능할 수 있습니다. 영향을 받는 버전에는 최신 보안 패치가 적용되지 않은 NGINX 1.24.x 및 1.25.x가 포함됩니다. 버전 1.26.1로 업데이트하거나 완화 패치를 적용하는 것이 좋습니다.
예정에 없는 휴식을 취하는 worker 😅
일부 NGINX worker가 예고 없이 파업을 결정한 것 같습니다. 페이지를 제공하는 대신 악의적인 요청 앞에서 우아하게 붕괴하는 것을 선호합니다. 마치 웨이터가 수상한 손님을 보고 쟁반을 떨어뜨린 채 집에 가버리는 것과 같습니다. 이것이 단지 기술적 결함일 뿐 월요일에 일하지 않으려는 변명이 아니라는 것이 다행입니다.