this post was submitted on 16 May 2026
14 points (100.0% liked)

Feddit.dk

1418 readers
21 users here now

Et meta-forum for nyheder, meddelelser og debatter omkring Feddit.dk i sig selv.

Man er også velkommen til at poste her hvis der ikke er nogen andre fællesskaber der passer.

founded 3 years ago
MODERATORS
SorteKanin@feddit.dk
President_Pyrus@feddit.dk
Klorofyl@feddit.dk
VonReposti@feddit.dk
14
PSA til selfhosters der bruger NGINX, en kritisk sårbarhed er fundet og man skal derfor opdatere til 1.30.1 eller 1.31.0 (feddit.dk)
submitted 1 day ago* (last edited 1 day ago) by VonReposti@feddit.dk to c/fedditdk@feddit.dk
4 comments fedilink hide all child comments
 

Sårbarheden giver mulighed for DoS angreb på alle versioner udgivet de sidste 18 år og vil i nogle konfigurationer kunne udnyttes til at køre arbitrær kode igennem en memory overflow. Førstnævnte er meget simpelt at udføre, som gør det meget kritisk, sidstnævnte kræver en del ekspertise, men grundet potentialet er det særdeles kritisk.

I kan læse mere om det her: https://cybernews.com/security/nginx-vulnerability-exposes-millions-of-websites/

Edit: Hvis man bruger Debian, så er det endnu ikke patched i stable versioner, I kan følge fremskridt på denne side: https://security-tracker.debian.org/tracker/CVE-2026-42945

top 4 comments
sorted by: hot top controversial new old
[–] SorteKanin@feddit.dk 7 points 1 day ago (1 children)

... og fordi denne besked måske var lidt for specifik og nørdet til at den ligefrem skal ud til alle brugere på Feddit.dk, så har jeg oprettet !selvhost@feddit.dk til dem der er interesseret i det 😀

[–] farsinuce@feddit.dk 4 points 1 day ago

Fedt. Dén abonnerer jeg på.

[–] RedAle@feddit.dk 2 points 1 day ago (1 children)

Så vidt jeg lige kan forstå er denne sårbarhed også af den ret teoretiske slags, der kræver nogle ret specifikke omstændigheder for at kunne bruges. Altså, hold altid dine ting patched, men det her er en "det ser jeg på mandag morgen" ting, ikke en "aaaaaaaaahh ild i håret" ting.

[–] VonReposti@feddit.dk 2 points 1 day ago

For remote code execution delen, så ja. Den er lidt mere teknisk og kræver en specifik konfiguration af NGINX før det kan udnyttes. Men DoS delen har en low barrier of entry og rammer alle versioner af NGINX. Ved DoS er skaden for en selfhoster selvfølgelig væsentlig lavere, men jeg ville personligt ikke løbe risikoen. Ikke nok til at udskyde kaffen om morgenen for privat udstyr men ikke noget jeg ville udskyde flere dage. Der går nok ikke lang tid før vi ser exploits på DoS delen.