昨日から Nginx Rift (CVE-2026-42945) をみていた。

NVD - CVE-2026-42945

https://nvd.nist.gov/vuln/detail/CVE-2026-42945

↗

キャンペーンサイトまでできてる。

NGINX Rift

An 18 year old memory corruption flaw in NGINX Plus and NGINX Open Source lets an unauthenticated attacker crash worker processes or execute remote code with crafted HTTP requests.

https://depthfirst.com/nginx-rift

こういうキャンペーン、 OpenSSL の Heartbleed あたりから流行ってきた感じがあり、見た目が立派だと、権威感というか、流暢性バイアスのようなものが働き、大変だぁって気持ちになる。

ただ、落ち着いて中身をよく見てみると、

• rewrite を使っている箇所で
• 書き換え後のパターンに ? が入っており
• 同一コンテキストに rewrite if set などが入っている

という3つの条件がある箇所が前提となっており、やたらと条件が多いというか、かなり Nginx を使いこなしてルールを書かないと攻撃の前提に立てない感じもあるし、そもそも外部からの見た目では攻撃できるかどうかの判定がつかないから、攻撃者は bot を使っていろんなサイトのいろんなパスに対してブルートフォースするぐらいしかないすよねえという気持ちになった。

じゃあだからといって対策しなくてもいいって話でもないが、この3条件が当てはまってない限りは超急ぐって感じでもないのかなあという印象。アップデートに関しても、 Nginx は割と後方互換を保ってくれている印象もあるし、コンテナで動かしているとかであればチャッと上げてもいいかなという感じでした。

ご安全に