Какие уязвимости nginx самые распространённые?

Наиболее частые уязвимости nginx в БДУ ФСТЭК: переполнение буфера при обработке HTTP-заголовков, HTTP Request Smuggling (рассинхронизация front-end и back-end), обход ограничений доступа через манипуляции с URI (path traversal). Уязвимости в модулях nginx (ngx_http_mp4, ngx_http_proxy) могут привести к отказу в обслуживании (DoS) или утечке памяти сервера.

Как проверить версию nginx на уязвимости?

Узнайте версию nginx командой nginx -v, затем проверьте её в реестре БДУ ФСТЭК на этой странице или в полном реестре (/instrumenty/bdu-reestr/). Все CVE для nginx привязаны к конкретным версиям — сопоставьте свою версию со списком затронутых. SGRC-платформа КиберОснова делает это автоматически для всех серверов в инфраструктуре.

Нужно ли обновлять nginx на сертифицированных ОС?

Да. nginx часто входит в состав сертифицированных ОС (Astra Linux, РЕД ОС), но при этом уязвимости в нём требуют отдельного внимания. Разработчик ОС выпускает собственные патчи для пакета nginx, но с задержкой относительно upstream. Мониторинг CVE nginx через БДУ ФСТЭК обязателен по мере АНЗ.1 приказов ФСТЭК.

Какой SLA на устранение уязвимости nginx на периметре?

Для nginx на периметре организации приказ ФСТЭК №117 (п. 38) устанавливает: критические уязвимости (CVSS 9.0+) — 24 часа, высокие (7.0–8.9) — 7 дней. Методика КЗИ дополнительно требует: патч должен быть применён не позднее 30 дней с момента публикации обновления, иначе снижается показатель защищённости информации.

Уязвимости nginx: CVE, БДУ ФСТЭК и мониторинг

Name: Уязвимости nginx — БДУ ФСТЭК
Creator: ФСТЭК России
License: https://bdu.fstec.ru/

Уязвимости nginx из реестра БДУ ФСТЭК: 102 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.

102уязвимостей в БДУ

Данные на этой странице обновляются автоматически на основании реестра БДУ ФСТЭК России и открытых источников (NVD, CISA KEV, FIRST EPSS). Информация носит справочный характер и не заменяет профессиональный анализ уязвимостей в конкретной инфраструктуре. Перед принятием решений по устранению рекомендуем верифицировать данные в первоисточнике и учитывать специфику вашей среды.

Уязвимости nginx из БДУ ФСТЭК

Последняя уязвимость: 11 марта 2026 г.·Проверено: 5 апреля 2026 г.

Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 102.

Уязвимость реализации протокола HTTP/2, связанная с возможностью формирования потока запросов в рамках уже установленного сетевого соединения, без открытия новых сетевых соединений и без подтверждения

Уязвимость модуля фильтра диапазона nginx HTTP-сервера nginx, позволяющая нарушителю раскрыть защищаемую информацию

Уязвимость контроллера входящего трафика в кластере Kubernetes ingress-nginx, связанная с недостаточным пространственным разделением, позволяющая нарушителю выполнить произвольный код

Уязвимость прокси-сервера nginx, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции ngx_resolver_copy() сервера nginx, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Уязвимость HTTP-сервера nginx, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю получить несанкционированный доступ к информации

Уязвимость конфигурации logrotate пользовательского интерфейса Nginx UI сервера nginx, позволяющая нарушителю выполнить произвольные команды

Уязвимость функции requestLetsEncryptSsl прокси-менеджера управления хостами NGINX Proxy Manager, позволяющая нарушителю выполнить произвольный код

Уязвимость реализации протокола HTTP/2 сервера nginx, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость программного обеспечения nginx, позволяющая удаленному злоумышленнику нарушить конфиденциальность защищаемой информации

2016CVE-2014-3556

Все 102 уязвимостей nginx в реестре Подключить мониторинг уязвимостей

Почему важно отслеживать уязвимости nginx

nginx — самый популярный веб-сервер и реверс-прокси, через который проходит трафик большинства российских веб-приложений. Уязвимости nginx особенно опасны: веб-сервер обычно доступен из интернета и обрабатывает все входящие HTTP-запросы. Типовые CVE: HTTP Request Smuggling, переполнение буфера при обработке заголовков, обход ограничений через некорректную обработку URI. F5 (владелец nginx) публикует Security Advisories, но многие организации используют открытую версию без коммерческой поддержки — и узнают об уязвимостях только из CVE-баз. Мониторинг БДУ ФСТЭК для nginx — минимальная мера защиты периметра.

Сроки устранения по приказу ФСТЭК №117

Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).

Критический

CVSS 9.0–10.0

24 часа

Высокий

CVSS 7.0–8.9

7 дней

Средний

CVSS 4.0–6.9

30 дней

Низкий

CVSS 0.1–3.9

Плановое

Полезные ресурсы

Реестр БДУ ФСТЭК

Полный поиск по уязвимостям nginx

Калькулятор CVSS v4.0

Рассчитайте критичность уязвимости

Приказ ФСТЭК №117

SLA на устранение и требования к мониторингу

Модуль БДУ ФСТЭК

Автоматический мониторинг уязвимостей nginx в SGRC

FAQ

Вопросы об уязвимостях nginx

Не нашли ответ? Напишите нам

Автоматизируйте мониторинг уязвимостей nginx

SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.