13 мая была исправлена уязвимость в популярном для нагруженных систем веб-сервере nginx: [ CVE-2026-42945 ]( https://www.cve.org/CVERecord?id=CVE-2026-42945 ) , потенциально могущая привести к RCE. Уязвимость появилась 18 лет (2008 год) назад в версии 0.6.27.

( [ читать дальше... ]( https://www.linux.org.ru/news/security/18295901#cut0 ) )

Информация об уязвимости была предоставлена Zhenpeng (Leo) Lin из DepthFirst. Кроме того, он же сообщил о следующих проблемах, которые тоже исправлены:

• [ CVE-2026-40701 ]( https://www.cve.org/CVERecord?id=CVE-2026-40701 ) ( [ коммит ]( https://github.com/nginx/nginx/commit/71841dcedfdf46048ef5e25413fdf97a66957913 ) ) use-after-free при использовании ssl_verify_client+ssl_ocsp (вроде бы без RCE)

• [ CVE-2026-42934 ]( https://www.cve.org/CVERecord?id=CVE-2026-42934 ) ( [ коммит ]( https://github.com/nginx/nginx/commit/696a7f1b9198d576e6a59c1655b746fbf06561cf ) ) чтение за пределами буфера в utf-8 парсере при специфических обстоятельствах, может привести к небольшой утечке данных или крашу рабочего процесса

• [ CVE-2026-42946 ]( https://www.cve.org/CVERecord?id=CVE-2026-42946 ) ( [ коммит ]( https://github.com/nginx/nginx/commit/f79c286b34d3b708bd4856a56e27529e11386098 ) ) чрезмерное выделение памяти и чтение за пределами буфера при использовании модулей scgi/uwsgi, проблема проявляется при наличии злонамеренного бекэнда (upstream) через указанные протоколы, либо при mitm канала общения с бекэндом, может привести к чтению памяти nginx или крашу рабочего процесса