Критична вразливість у Nginx CVE-2026-9256

/uk/linux/how-to/ nginxdebianCVE
23/Травень/2026
авторRentaro
Rentaro

Перезберемо Nginx з патчем CVE-2026-9256 відповідно до Debian-way.

Debian Nginx CVE-2026-9256 1600x900 CVE-2026-9256.png
Debian Nginx CVE-2026-9256

Критична вразливість у nginx, що дозволяє віддалено досягти виконання коду з правами робочого процесу nginx через відправлення спеціально оформленого HTTP-запиту.
Але не у цьому річ.
А річ у тому, що мейнтейнери Debian не квапляться викочувати новий пакет із патчами.

1
2
3
4
5

apt --no-install-recommends \
    --no-install-suggests install \
    build-essential \
    fakeroot \
    devscripts

nano /etc/apt/sources.list

1
2
3
4

# trixie sources
deb-src https://deb.debian.org/debian/ trixie main contrib non-free non-free-firmware
deb-src http://security.debian.org/debian-security/ trixie-security main contrib non-free non-free-firmware
deb-src https://deb.debian.org/debian/ trixie-updates main contrib non-free non-free-firmware

1
2
3
4
5
6
7
8
9

apt update
cd /usr/src
mkdir -p debian-nginx && cd debian-nginx
apt-get source nginx
apt build-dep nginx
cd nginx-1.26.3
wget https://github.com/nginx/nginx/commit/3f135ae2eb60ce376196c898a6c7cb4d774f7068.patch \
     -O debian/patches/CVE-2026-9256.patch
printf '\n%s\n' "CVE-2026-9256.patch" >> debian/patches/series

dch -n

1
2
3
4
5
6

nginx (1.26.3-3+deb13u5.7) UNRELEASED; urgency=high

  * CVE-2026-9256 patch.
  *

 -- sysop <sysop@prod>  Sun, 23 May 2026 17:45:58 +0200

debuild -b -uc -us

1
2
3
4
5
6
7
8
9

 dpkg-buildpackage -us -uc -ui -b
dpkg-buildpackage: info: source package nginx
dpkg-buildpackage: info: source version 1.26.3-3+deb13u5.7
dpkg-buildpackage: info: source distribution UNRELEASED
dpkg-buildpackage: info: source changed by sysop <sysop@prod>
 dpkg-source --before-build .
dpkg-buildpackage: info: host architecture amd64
dpkg-source: info: using patch list from debian/patches/series
dpkg-source: info: applying CVE-2026-9256.patch

cd ../

1
2
3
4
5
6
7
8
9
10
11
12

dpkg -i \
    libnginx-mod-http-geoip_1.26.3-3+deb13u5.7_amd64.deb \
    libnginx-mod-mail_1.26.3-3+deb13u5.7_amd64.deb \
    libnginx-mod-http-image-filter_1.26.3-3+deb13u5.7_amd64.deb \
    libnginx-mod-stream_1.26.3-3+deb13u5.7_amd64.deb \
    libnginx-mod-http-perl_1.26.3-3+deb13u5.7_amd64.deb \
    libnginx-mod-stream-geoip_1.26.3-3+deb13u5.7_amd64.deb \
    libnginx-mod-http-xslt-filter_1.26.3-3+deb13u5.7_amd64.deb \
    nginx_1.26.3-3+deb13u5.7_amd64.deb \
    nginx-core_1.26.3-3+deb13u5.7_all.deb \
    nginx-extras_1.26.3-3+deb13u5.7_amd64.deb \
    nginx-common_1.26.3-3+deb13u5.7_all.deb
Оригінальний пост на My WebArt Критична вразливість у Nginx CVE-2026-9256