Hướng dẫn cập nhật NGINX vá lỗ hổng bảo mật nghiêm trọng CVE-2026-42530
Lỗ hổng bảo mật nghiêm trọng CVE-2026-42530 (Điểm CVSS: 9.2 – Critical) vừa được phát hiện trong phần mềm máy chủ NGINX Open Source. Để đảm bảo an toàn cho hệ thống, người dùng và quản trị viên máy chủ cần thực hiện các bước kiểm tra, vá lỗi hoặc áp dụng biện pháp giảm thiểu tạm thời ngay lập tức.
Dưới đây là hướng dẫn chi tiết từ Long Vân giúp quản trị viên xử lý triệt để lỗ hổng này.
I. Thông tin lỗ hổng và phạm vi ảnh hưởng
- Tên lỗ hổng: Use-After-Free (CVE-2026-42530).
- Mức độ: Nghiêm trọng (Critical).
- Chi tiết: Lỗi nằm trong module HTTP/3 (ngx_http_v3_module) của NGINX. Khi kẻ tấn công gửi một truy vấn HTTP/3 được thiết kế đặc biệt, lỗ hổng có thể bị khai thác để gây ra tình trạng Từ chối dịch vụ (DoS) làm sập hệ thống, hoặc nguy hiểm hơn là Thực thi mã từ xa (RCE) để chiếm toàn quyền điều khiển máy chủ.
- Phiên bản bị ảnh hưởng: NGINX Open Source phiên bản 1.31.0 và 1.31.1.
II. Cách kiểm tra hệ thống có bị ảnh hưởng
Để xác định xem máy chủ có nằm trong diện rủi ro hay không, hệ thống cần được rà soát dựa trên 2 điều kiện. Máy chủ chỉ bị ảnh hưởng nếu thỏa mãn cả hai điều kiện sau:
Điều kiện 1: Kiểm tra phiên bản NGINX Tiến hành kiểm tra phiên bản NGINX đang chạy trên máy chủ bằng lệnh:
nginx -v
Nếu kết quả trả về là 1.31.0 hoặc 1.31.1, hệ thống nằm trong dải phiên bản lỗi. Tiếp tục thực hiện Điều kiện 2.
Điều kiện 2: Kiểm tra cấu hình HTTP/3 (QUIC) Sử dụng lệnh sau để rà soát nhanh xem giao thức HTTP/3 có đang được kích hoạt trong file cấu hình hay không:
grep -E “listen.*quic|http3.*on” /usr/local/nginx/nginx.conf
(Lưu ý: Thay thế /usr/local/nginx/nginx.conf bằng đường dẫn thư mục/file cấu hình NGINX thực tế trên máy chủ của bạn, ví dụ: /etc/nginx/).
Nếu lệnh trả về các dòng cấu hình đang hoạt động (không có dấu # ở đầu), hệ thống của bạn đang bị ảnh hưởng và cần áp dụng biện pháp xử lý ngay lập tức.
III. Giải pháp tạm thời
Đối với các hệ thống đang bị ảnh hưởng nhưng chưa thể sắp xếp lịch bảo trì (downtime) để cập nhật phần mềm, quản trị viên cần tiến hành vô hiệu hóa giao thức HTTP/3 (QUIC) để ngăn chặn rủi ro bị khai thác.
Bước 1: Mở các tệp cấu hình NGINX có chứa từ khóa quic hoặc http3 đã tìm thấy ở phần kiểm tra trên.
Bước 2: Vô hiệu hóa (comment bằng dấu #) các dòng cấu hình thiết lập cổng UDP cho QUIC.
Ví dụ: Đổi listen 443 quic reuseport; thành # listen 443 quic reuseport;
Bước 3: Vô hiệu hóa chỉ thị kích hoạt HTTP/3.
Ví dụ: Đổi http3 on; thành # http3 on;
Bước 4: Kiểm tra tính hợp lệ của cú pháp cấu hình mới và tiến hành tải lại (reload) dịch vụ:
nginx -t
nginx -s reload
IV. Cách cập nhật NGINX chính thức (Giải pháp triệt để)
Để khắc phục hoàn toàn lỗ hổng CVE-2026-42530, phương án bắt buộc và an toàn nhất là nâng cấp NGINX lên phiên bản đã được vá lỗi.
- Phiên bản an toàn: NGINX 1.31.2 hoặc các bản phát hành mới hơn.
- Thao tác thực hiện:
- Sao lưu (Backup) cấu hình và dữ liệu hệ thống trước khi tiến hành.
- Cập nhật package NGINX thông qua trình quản lý gói của hệ điều hành (apt, yum, dnf, v.v.) hoặc tiến hành biên dịch lại từ mã nguồn mới nhất.
- Sau khi quá trình cập nhật thành công và kiểm tra phiên bản bằng lệnh nginx -v xác nhận bản 1.31.2+, bạn có thể mở lại file cấu hình, xóa các dấu # để bật lại HTTP/3 và chạy lệnh nginx -s reload.
V. Lưu ý quan trọng
- Cấu hình mặc định: Giao thức HTTP/3 không được bật theo mặc định trên hệ thống NGINX. Nếu máy chủ của bạn chỉ phục vụ web thông qua HTTP/1.1 hoặc HTTP/2 (chỉ sử dụng kết nối TCP), hệ thống không bị ảnh hưởng bởi lỗ hổng này.
- Kiểm tra cú pháp: Hãy luôn thực hiện lệnh nginx -t để kiểm tra trước khi reload cấu hình. Thao tác này giúp đảm bảo không có lỗi cú pháp trong quá trình chỉnh sửa file, tránh gây gián đoạn các dịch vụ web đang chạy.
Như vậy, Long Vân đã hướng dẫn quý Khách các bước giảm thiểu tạm thời và cập nhật nginx để khắc phục lỗ hổng CVE-2026-42530. Chúc quý Khách thành công.