Nginx-DoS-Luecke wird aktiv ausgenutzt: Patch in der Rewrite-Engine
Eine Schwachstelle in der Rewrite-Engine von Nginx kann Worker-Prozesse zum Absturz bringen. Heise meldet aktive Angriffe, Betreiber sollten auf den aktuellen Stable-Zweig aktualisieren.
Betreiber von Nginx-Webservern sollten ihren Patch-Stand pruefen. Laut heise online wird derzeit eine Schwachstelle in der Rewrite-Engine ausgenutzt, die einen Heap-basierten Buffer-Overflow im Worker-Prozess ausloesen und den Server zu Neustarts zwingen kann. Voraussetzung ist eine Konfiguration, in der ein rewrite-Direktiv von einem weiteren rewrite, if oder set mit Perl-kompatiblem regulaerem Ausdruck inklusive Substitution gefolgt wird – ein Muster, das in komplexeren vHost-Konfigurationen schnell entsteht.
Parallel hat das Nginx-Team mit Version 1.30.0 einen neuen Stable-Zweig veroeffentlicht, der Features aus der 1.29.x-Mainline buendelt. Dazu zaehlen HTTP Early Hints (Status 103), HTTP/2 zu Backends, encrypted ClientHello sowie Multipath TCP. Eine fuer die Praxis wichtige Default-Aenderung: Das Proxy-Modul nutzt fuer Backend-Verbindungen nun standardmaessig HTTP/1.1 mit Keep-Alive. Wer haendisch HTTP/1.0 erzwungen hatte oder ungewollte Persistenz fuerchtet, sollte Tests einplanen.
Schon Anfang 2026 hatten Sicherheitsforscher eine Kampagne dokumentiert, die ueber kompromittierte Hosting-Panels eigene location-Bloecke in Nginx-Konfigurationen einschleust und Traffic abgreift. In Kombination mit der jetzigen DoS-Luecke sollten Admins also nicht nur das Binary, sondern auch die Konfigurationsdateien selbst regelmaessig pruefen.
Hinzu kommt eine eher leise, aber strategisch wichtige Entwicklung im Ingress-Nginx-Umfeld. Der zugehoerige Open-Source-Controller fuer Kubernetes hatte Ende 2025 die Wartungsphase beendet, was viele Cluster-Betreiber zu einem Wechsel auf alternative Controller wie Gateway API, HAProxy Ingress oder Traefik zwingt. Wer Nginx im klassischen Reverse-Proxy-Modus betreibt, ist davon nicht direkt betroffen, sollte Konfigurations-Snippets aus der Kubernetes-Welt aber nicht ungeprueft uebernehmen.
Was Admins jetzt tun sollten
- Auf die aktuelle Stable-Version 1.30.x oder eine vom Distributor zurueckportierte gepatchte Variante aktualisieren
- vHost-Konfigurationen auf riskante
rewrite-Kombinationen pruefen, ggf. vereinfachen - Aenderungen an Nginx-Konfigurationen ueber FIM (File Integrity Monitoring) ueberwachen
- Backend-Verbindungen nach Update auf HTTP/1.1-Keep-Alive testen, vor allem bei Legacy-Applikationen
- Reverse-Proxy-Logs auf Crash- und Reload-Muster der letzten Wochen sichten
Im DACH-Mittelstand laeuft Nginx haeufig vor PHP-Anwendungen, WordPress-Setups oder Docker-Backends. Wer Hosting auf eigenen Root-Servern oder VPS bei einem Anbieter wie Netcup betreibt, sollte den Update-Slot direkt mit einem Review der Reverse-Proxy-Konfiguration kombinieren. Komplexe Rewrite-Ketten sind nicht nur ein Sicherheits-, sondern oft auch ein Performance-Risiko.
Mehr aus der Kategorie Server & Netzwerk: News aus der Kategorie Netzwerk
Quellen: heise online zur Nginx-DoS-Luecke, heise online zu Nginx 1.30. Abgerufen am 29.05.2026.
