F5 ने अपने NGINX और BIG-IP उत्पादों में आठ महत्वपूर्ण सुरक्षा कमजोरियों को दूर करने के लिए एक इमरजेंसी पैच जारी किया है, जिससे डेटा लीक और कोड निष्पादन का खतरा बढ़ गया था।

मुख्य बिंदु (Key Takeaways)

  • F5 ने NGINX और BIG-IP के लिए आठ सुरक्षा पैच जारी किए हैं।
  • CVE-2026-42533 सबसे गंभीर दोष है, जिसका CVSS स्कोर 9.2 है।
  • हमलावर बिना प्रमाणीकरण (Authentication) के कोड निष्पादित कर सकते हैं।
  • इन खामियों से मेमोरी लीक और 'डिनायल-ऑफ-सर्विस' (DoS) का खतरा है।

साइबर सुरक्षा के क्षेत्र में एक बड़ी हलचल तब हुई जब दिग्गज कंपनी F5 ने बुधवार को अपने प्रमुख उत्पादों, NGINX और BIG-IP, में पाई गई आठ गंभीर सुरक्षा कमजोरियों को ठीक करने के लिए एक 'आउट-ऑफ-बैंड' सुरक्षा रोलआउट की घोषणा की। ये खामियां हमलावरों को सिस्टम के कॉन्फ़िगरेशन बदलने, प्रक्रियाओं को रोकने या रीस्टार्ट करने और यहां तक कि संवेदनशील मेमोरी डेटा को लीक करने की अनुमति दे सकती थीं।

सबसे गंभीर खतरा: CVE-2026-42533

इस पैच अपडेट में सबसे चिंताजनक मामला CVE-2026-42533 का है, जिसे 9.2 का अत्यंत उच्च CVSS स्कोर दिया गया है। यह खामी NGINX Plus और NGINX Open Source दोनों में मौजूद है। तकनीकी रूप से, यह एक 'हीप बफर ओवरफ्लो' (Heap Buffer Overflow) समस्या है जो विशेष रूप से तैयार किए गए HTTP अनुरोधों के माध्यम से उत्पन्न होती है। यदि किसी सिस्टम में 'एड्रेस स्पेस लेआउट रैंडमाइजेशन' (ASLR) अक्षम है, तो एक हमलावर बिना किसी प्रमाणीकरण के सीधे कोड निष्पादित (Code Execution) कर सकता है, जो पूरे सर्वर के नियंत्रण को खतरे में डाल सकता है।

NGINX और BIG-IP पर व्यापक प्रभाव

समस्या केवल एक दोष तक सीमित नहीं है। F5 ने ngx_http_slice_module और ngx_http_ssi_module में भी कई उच्च-स्तरीय बग्स को ठीक किया है। इन कमजोरियों का फायदा उठाकर हमलावर मेमोरी की सामग्री लीक कर सकते हैं या NGINX वर्कर प्रोसेस को बाधित कर सकते हैं। इसके अतिरिक्त, NGINX Ingress Controller में पाई गई खामियां हमलावरों को मनमानी कॉन्फ़िगरेशन निर्देश डालने, फाइलों को हटाने या सेवाओं को अक्षम करने की शक्ति देती हैं।

BIG-IP और DoS का जोखिम

BIG-IP उपयोगकर्ताओं के लिए भी खतरे की घंटी है। एक उच्च-स्तरीय सुरक्षा दोष पाया गया है जो हमलावरों को HTTP/2 प्रोफाइल कॉन्फ़िगर किए गए वर्चुअल सर्वर पर मेमोरी संसाधनों का अत्यधिक उपयोग करने की अनुमति देता है। इससे 'डिनायल-ऑफ-सर्विस' (DoS) की स्थिति उत्पन्न हो सकती है, जिससे महत्वपूर्ण नेटवर्क सेवाएं ठप हो सकती हैं। हालांकि, F5 का कहना है कि वर्तमान में इन खामियों के सक्रिय रूप से उपयोग किए जाने (Exploited in the wild) का कोई प्रमाण नहीं मिला है, लेकिन सुरक्षा विशेषज्ञों ने तत्काल अपडेट करने की सलाह दी है।