nginx'te 18 yıllık kritik açık bulundu, acil yamalayın

Posted on 14 May 2026

arkadaşlar, nginx’te tam 18 yıldır gizlenmiş bir açık bulunmuş. yani 2008’den beri orada oturuyormuş, kimse fark etmemiş. depthfirst denen araştırmacılar bulmuş bunu. CVE-2026-42945 numaralı bu açık, rewrite modülünde heap buffer overflow sorunu. CVSS skoru 9.2, yani kritik seviyede. 🔴

spoiler: uzaktan kod çalıştırma (RCE) mümkün, yani saldırgan kimlik doğrulama bile yapmadan sunucunuza girebilir.

ne var bu açıkta

CVE-2026-42945 açığı nginx’in rewrite modülünde (ngx_http_rewrite_module) bulunuyor. heap buffer overflow denen klasik bela var burada. saldırgan özel hazırlanmış bir http isteği göndererek:

  • uzaktan kod çalıştırabilir (RCE)
  • sunucuyu çökertebilir (DoS)
  • bellek üzerinde oynama yapabilir

18 yıl boyunca kimsenin fark etmemesi ayrı bir trajedi. düşünün, 2008’den beri nginx kullanan herkes bu açıkla yaşamış.

zafiyet detayları:

  • CVSS Skoru: 9.2 (kritik)
  • Zafiyet Türü: heap buffer overflow
  • Saldırı Vektörü: network (ağ üzerinden)
  • Kimlik Doğrulama: gerekmiyor (unauthenticated)
  • Etki: RCE + DoS

hangi sistemler etkileniyor

SistemDurum
NGINX Open Source✅ Etkileniyor
NGINX Plus✅ Etkileniyor
ngx_http_rewrite_module kullanan tüm versiyonlar✅ Etkileniyor

edit: rewrite modülü nginx’te çok yaygın kullanılır, url yönlendirmeleri için. yani çoğunuzda var bu modül.

hemen yapmanız gerekenler

agalar, nginx kullanıyorsanız acil güncelleme yapın. şöyle kontrol edin:

# nginx versiyonunuzu kontrol edin
nginx -v

# rewrite modülünün yüklü olup olmadığını kontrol edin
nginx -V 2>&1 | grep -o with-http_rewrite_module

# güncelleme yapın (ubuntu/debian)
sudo apt update
sudo apt install nginx

# güncelleme yapın (centos/rhel)
sudo yum update nginx

# veya (rhel 8+)
sudo dnf update nginx

# nginx'i yeniden başlatın
sudo systemctl restart nginx

# kontrol edin
sudo systemctl status nginx

dikkat: güncelleme yapmadan önce mutlaka yedek alın. sonra “nginx çalışmıyor” diye ağlamayın.

test ortamında deneyin önce

arkadaşlar, direkt production’a atmayın yamaları. önce test ortamınızda deneyin:

# nginx config'i test edin
sudo nginx -t

# sorun yoksa yeniden yükleyin
sudo nginx -s reload

config hatası varsa nginx -t size söyleyecektir. o zaman düzeltin önce, sonra restart atın.

geçici çözüm (hemen yamalayamayanlar için)

eğer hemen güncelleyemiyorsanız (ki neden güncelleyemiyorsunuz, ama neyse), şu önlemleri alın:

1. waf kuralları ekleyin:

# şüpheli istekleri engelleyin
if ($request_uri ~* "(\.\.\/|\.\.\\)") {
    return 403;
}

# anormal uzunluktaki istekleri engelleyin
if ($request_uri ~ "^.{1024,}$") {
    return 414;
}

2. rate limiting açın:

# nginx.conf içine ekleyin
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

# server bloğuna ekleyin
limit_req zone=one burst=20;

3. rewrite modülünü kullanmıyorsanız kapatın:

# nginx'i rewrite modülü olmadan derleyin
# (bu işlem biraz uğraştırır, tavsiye etmiyorum)

ama bunlar geçici çözüm, asıl çözüm güncellemedir. ertelemeyin bu işi.

diğer açıklar da var mı

depthfirst ekibi sadece CVE-2026-42945 değil, birkaç açık daha bulmuş nginx’te. detayları henüz açıklanmadı ama muhtemelen yakında duyururlar. yani daha da güncelleme gelecek demektir.

bkz: nginx security advisories sayfasını takip edin.

izlemeniz gereken adımlar

şimdi ne yapacaksınız, adım adım:

  1. nginx versiyonunuzu kontrol edin - eski mi?
  2. yedek alın - config dosyalarını ve önemli datayı
  3. test ortamında güncelleyin - sorun var mı yok mu bakın
  4. production’a uygulayın - acele edin ama panik yapmayın
  5. logları izleyin - garip bir şey var mı diye
  6. monitoring kurun - bir daha böyle şeyler olmasın
# log izleme
sudo tail -f /var/log/nginx/error.log
sudo tail -f /var/log/nginx/access.log

# şüpheli istekleri filtreleyin
sudo grep -i "rewrite" /var/log/nginx/error.log

sonuç olarak

18 yıllık bir açık bulunması çok ciddi bir durum. nginx dünyanın en yaygın web sunucularından biri. milyonlarca site kullanıyor. bu açık aktif olarak sömürülmeye başlarsa (henüz wild’da görülmedi ama), büyük sorun olur.

acil acil yamalayın. “ay sonra yaparım” demeyin. saldırganlar bu haberi sizden önce okuyor, onlar daha hızlı hareket ediyor.

kaynaklar

edit: bu yazıyı okuduktan sonra hemen sunucularınızı kontrol edin. “ben sonra yaparım” diyenler genelde en çok zarar görenlerdir.

edit 2: yedek almayı unutmayın diyorum, cidden unutmayın. sonra “nginx çalışmıyor, eski haline nasıl dönerim” diye issue açmayın forumlarda.

hadi kolay gelsin, bol şanslar. 🚀

Bu içerik yapay zeka tarafından oluşturulmuştur.