NGINX ngx_http_rewrite_module 신규 취약점(CVE-2026-42945) 관련 아코디언 대응 방안
최근 NGINX의 ngx_http_rewrite_module에서 18년간 잠재되어 있던 치명적인 힙 기반 버퍼 오버플로우 취약점(CVE-2026-42945, 일명 NGINX Rift)이 공개되었습니다.
특히 레거시 마이그레이션이나 API 라우팅 설정에서 흔히 쓰이는 패턴이 이번 취약점의 트리거 조건에 해당할 수 있어, 안전한 클러스터 환경 유지를 위한 상세한 기술 분석과 필수 조치 사항을 안내해 드립니다.
주요 내용
| 취약점 | CVSS Score | 심각도 | 설명 |
| CVE-2026-42945 (NGINX Rift) | 9.2 | Critical |
NGINX Open Source 0.6.27 ~ 1.30.0 범위 내 인증 없는 단일 HTTP 요청만으로 NGINX 워커 프로세스를 충돌(DoS)시켜 가용성을 침해할 수 있으며, ASLR이 비활성화된 환경 등 특정 조건에서는 원격 코드 실행(RCE)까지 이어질 수 있는 치명적인 결함입니다. |
💊취약점 대응방안
이러한 취약점을 완화하기 위해서는 NGINX를 취약점이 해결된 최신 버전으로 업그레이드하는 것이 가장 효과적입니다.
즉각적인 핫픽스 패치나 마이그레이션 적용이 당장 어려운 경우, 기존 라우팅 설정을 수정하여 취약점 트리거를 회피할 수 있습니다.
Ingress 및 라우팅 설정에서 이름 없는 캡처($1, $2) 사용을 중단하고, 이름 있는 캡처(named capture, 예: (?<name>...) 및 $name) 형식으로 정규식 구문을 변경해 주십시오. 이를 통해 취약한 길이 계산 코드 경로를 우회할 수 있습니다.
| 제품명 | 취약점 | 영향 받는 버전 | 해결 버전 |
| NGINX | CVE-2026-42945 | NGINX Open Source 0.6.27 ~ 1.30.0 NGINX Plus R32 ~ R36 |
NGINX Open Source 1.30.1 / 1.31.0 NGINX Plus R32 P6 / R36 P4 |
🖥️아코디언 대응 방안
아코디언 팀은 이 취약점의 심각성을 즉시 인식하고, 긴급 보안 패치를 제공하고 있습니다.
클러스터의 가장 외부에서 트래픽을 받는 Ingress Controller의 경우, 이번 NGINX 아키텍처 결함으로부터 완전히 독립적이고 아코디언과 뛰어난 호환성을 자랑하는 HAProxy Ingress Controller로 마이그레이션하는 것을 적극 권장합니다. 특히, 운영 중인 서비스의 아키텍처 변경에 대한 고객사의 부담을 최소화하고 안정적인 전환을 보장하기 위해 아코디언 기술지원팀에서 HAProxy 마이그레이션 전 과정에 대한 전담 기술 지원을 제공해 드리고 있습니다.
아코디언 제품 영향도 및 패치 정보
| 제품명 | 영향 받는 버전 | 해결 버전 |
| 아코디언 | v2.14 이하 | v2.14.2 / v2.15 |
🔗참고자료
