В мае 2026 года разработчики nginx совместно с компанией F5 опубликовали информацию о семи уязвимостях в веб-сервере nginx — одном из самых востребованных элементов мировой веб-инфраструктуры. В ответ на это компания 1С-Битрикс выпустила обновлённую версию пакета bx-nginx 1.30.2 для своей виртуальной машины VMBitrix. Этот пакет содержит исправления для всех уязвимостей.
Если вы работаете с виртуальной машиной VMBitrix — обновите bx-nginx до версии 1.30.2 в ближайшее время. Для одной из критических уязвимостей в сети опубликован эксплойт и исследователи безопасности уже зафиксировали попытки его применения.
Что произошло
Недавно команда nginx и компания F5 скоординированно раскрыли шесть уязвимостей в nginx Open Source и nginx Plus, одновременно выпустив исправленные версии: 1.30.1 (стабильная) и 1.31.0 (основная ветка). 22 мая в рамках этого же процесса была раскрыта и исправлена седьмая уязвимость (версия nginx 1.31.1).
Среди них — NGINX Rift (CVE-2026-42945) — heap-уязвимость в модуле rewrite. Проблема существовала в коде с 2008 года во всех версиях nginx Open Source с 0.6.27 по 1.30.0. Поскольку nginx — один из самых распространённых веб-серверов в мире, этот майский патч уязвимостей затрагивает значительную долю его инсталляций, включая сборки, используемые в продуктах 1С-Битрикс. Компания 1С-Битрикс пересобрала nginx с патчами, протестировала его в составе VMBitrix и 25 мая опубликовала обновление bx-nginx 1.30.2.
Устраняемые уязвимости
|
CVE |
Класс |
CVSS |
|---|---|---|
|
CVE-2026-42945 (NGINX Rift) |
Переполнение буфера кучи в ngx_http_rewrite_module; потенциальный неаутентифицированный RCE |
9.2 (v4) / 8.1 (v3.1) |
|
CVE-2026-9256 (nginx-poolslip) |
Переполнение буфера кучи в ngx_http_rewrite_module при overlapping PCRE captures; потенциальный RCE |
По шкале nginx — medium |
|
CVE-2026-42926 |
HTTP/2 request injection через proxy_set_body при proxy_http_version 2 |
Medium |
|
CVE-2026-40701 |
Use-after-free в ngx_http_ssl_module при ssl_ocsp |
Medium |
|
CVE-2026-42946 |
Buffer overread в ngx_http_uwsgi_module и ngx_http_scgi_module |
8.3 (v4) |
|
CVE-2026-42934 |
Buffer overread в ngx_http_charset_module при UTF-8 в charset_map |
Low |
|
CVE-2026-40460 |
Address spoofing в HTTP/3 при QUIC connection migration |
Medium |
Команда nginx классифицирует CVE-2026-42945 как угрозу средней степени тяжести (medium). Однако F5, исследователи depthfirst и независимые аналитики (Cloud Security Alliance, Orca Security, Qualys) присваивают этой уязвимости критический уровень. 1С-Битрикс ориентируется на оценку F5 и внешних экспертов и также относит её к критическим.
Кого касается
Обновление предназначено для установок, использующих VMBitrix — официальную виртуальную машину 1С-Битрикс, в составе которой поставляется веб-сервер nginx. Уязвимости nginx актуальны для сценариев, в которых соответствующие модули активны в конфигурации (rewrite, proxy_set_body поверх HTTP/2, ssl_ocsp, charset_map, HTTP/3, проксирование uwsgi/scgi). Большинство стандартных конфигураций VMBitrix как минимум задействуют модуль rewrite, а значит, потенциально уязвимы.
Облачный Битрикс24 и инфраструктура 1С-Битрикс уже обновлены. Пользователи 1С-Битрикс должны как можно скорее обновить свое локальное виртуальное окружение.
Если в вашей инфраструктуре nginx используется не только в составе VMBitrix, но и в других контурах, то их необходимо обновлять отдельно, следуя инструкциям производителей.
Что делать
Для защиты VMBitrix обязательно обновите ваши виртуальные машины:
dnf clean all && dnf update
Если требуется добавить модуль nginx вне стандартной поставки VMBitrix, используйте репозиторий исходных версий пакетов.
Добавьте файл для репозитория исходных версий /etc/yum.repos.d/bitrix-source-9.repo со следующим содержимым:
[bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9
Убедитесь, что установлены пакеты dnf-utils и yum-utils:
dnf clean all && dnf install -y dnf-utils yum-utils
Скачайте исходники bx-nginx:
yumdownloader --source bx-nginx
Примерный ответ в консоли:
[root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source 2.4 MB/s | 4.3 MB 00:01
Rocky Linux 9 - BaseOS - Source 429 kB/s | 423 kB 00:00
Rocky Linux 9 - AppStream - Source 280 kB/s | 945 kB 00:03
Rocky Linux 9 - CRB - Source 116 kB/s | 139 kB 00:01
Rocky Linux 9 - Extras Source 10 kB/s | 14 kB 00:01
bx-nginx-1.30.2-0.el9.src.rpm 4.6 MB/s | 118 MB 00:25
[root@localhost ~]#
Не откладывайте обновление, т.к. попытки эксплуатации уязвимостей уже зафиксированы.
При этом, если вы не готовы самостоятельно отслеживать уязвимости и следить за здоровьем вашего сервера, то поручите эту задачу специалистам Интерволги. Мы готовы взять ваш проект на техническую поддержку и сопровождение или выполнять разовые задачи.
Статьи по теме
