1С-Битрикс выпустил bx-nginx 1.30.2 в ответ на майское раскрытие уязвимостей веб-сервера nginx
В мае 2026 года команда nginx и компания F5 раскрыли семь уязвимостей в веб-сервере nginx - одном из самых распространённых компонентов веб-инфраструктуры в мире. 1С-Битрикс выпустил обновлённый пакет bx-nginx 1.30.2 для виртуальной машины VMBitrix. Пакет включает патчи для всех семи уязвимостей nginx, в том числе двух критических - NGINX Rift (CVE-2026-42945) и CVE-2026-9256 ("nginx-poolslip"), для первой из которых в открытом доступе уже есть рабочий эксплойт .
Кратко: если вы используете виртуальную машину VMBitrix - обновите bx-nginx до 1.30.2 в ближайшие часы. Для NGINX Rift опубликован эксплойт с обходом ASLR, попытки эксплуатации уже зафиксированы исследователями безопасности.
Что произошло
Недавно команда nginx и компания F5 опубликовали скоординированное раскрытие шести уязвимостей в nginx Open Source и nginx Plus и одновременно выпустили исправленные версии nginx 1.30.1 (stable) и 1.31.0 (mainline). 22 мая в рамках того же процесса была раскрыта и исправлена седьмая уязвимость (nginx 1.31.1).
Среди них - NGINX Rift (CVE-2026-42945), heap-уязвимость в модуле rewrite, обнаруженная исследовательской командой depthfirst. Уязвимость существовала в коде с 2008 года и присутствует во всех версиях nginx Open Source от 0.6.27 до 1.30.0. nginx - один из самых распространённых веб-серверов в мире, поэтому майский батч затрагивает значительную часть его инсталляций, включая сборки nginx, используемые в продуктах 1С-Битрикс. 1С-Битрикс пересобрал nginx с патчами и протестировал в составе VMBitrix, обновление bx-nginx 1.30.2 опубликовано 25 мая.
Устраняемые уязвимости
| CVE | Класс | CVSS | Кем обнаружено |
|---|---|---|---|
|
CVE-2026-42945 (NGINX Rift) |
Heap buffer overflow в ngx_http_rewrite_module ; потенциальный неаутентифицированный RCE | 9.2 (v4) / 8.1 (v3.1) | depthfirst / F5 |
|
CVE-2026-9256 (nginx-poolslip) |
Heap buffer overflow в ngx_http_rewrite_module при overlapping PCRE captures; потенциальный RCE | По шкале nginx — medium | Mufeed VH (Winfunc Research) |
| CVE-2026-42926 | HTTP/2 request injection через proxy_set_body при proxy_http_version 2 | Medium | Mufeed VH (Winfunc Research) |
| CVE-2026-40701 | Use-after-free в ngx_http_ssl_module при ssl_ocsp | Medium | Leo Lin |
| CVE-2026-42946 | Buffer overread в ngx_http_uwsgi_module и ngx_http_scgi_module | 8.3 (v4) | F5 |
| CVE-2026-42934 | Buffer overread в ngx_http_charset_module при UTF-8 в charset_map | Low | F5 |
| CVE-2026-40460 | Address spoofing в HTTP/3 при QUIC connection migration | Medium | Rodrigo Laneth |
Команда nginx классифицирует CVE-2026-42945 как severity medium, однако F5, исследователи depthfirst и независимые аналитики (Cloud Security Alliance, Orca Security, Qualys) присваивают этой уязвимости CVSS v4 9.2 - «critical». 1С-Битрикс ориентируется на оценку F5 и внешних исследователей и относит её к критическим.
Кого касается
Обновление применимо к инсталляциям, использующим VMBitrix - официальную виртуальную машину 1С-Битрикс, в составе которой поставляется веб-сервер nginx. Уязвимости nginx затрагивают сценарии, в которых соответствующие модули активны в конфигурации (rewrite, proxy_set_body над HTTP/2, ssl_ocsp, charset_map, HTTP/3, uwsgi/scgi-проксирование). Большинство стандартных конфигураций VMBitrix как минимум использует rewrite-модуль и потенциально уязвимо к NGINX Rift.
Облачный Битрикс24 и инфраструктура 1С-Битрикс на стороне компании обновлены отдельно, до публикации этих рекомендаций.
Если в вашей инфраструктуре nginx используется не только в составе VMBitrix, но и в других контурах - эти инсталляции необходимо обновлять отдельно, в рамках обновлений соответствующих производителей.
Что делать
Для защиты VMBitrix обязательно обновите ваши виртуальные машины: dnf clean all && dnf update
Если требуется добавить модуль nginx вне стандартной поставки VMBitrix, используйте репозиторий исходных версий пакетов.
Добавьте файл для репозитория исходных версий /etc/yum.repos.d/bitrix-source-9.repo с содержимым:
[bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9Убедимся, что есть пакеты dnf-utils и yum-utils:
dnf clean all && dnf install -y dnf-utils yum-utilsСкачиваем исходники bx-nginx:
yumdownloader --source bx-nginxПримерный ответ в консоли:
[root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source 2.4 MB/s | 4.3 MB 00:01
Rocky Linux 9 - BaseOS - Source 429 kB/s | 423 kB 00:00
Rocky Linux 9 - AppStream - Source 280 kB/s | 945 kB 00:03
Rocky Linux 9 - CRB - Source 116 kB/s | 139 kB 00:01
Rocky Linux 9 - Extras Source 10 kB/s | 14 kB 00:01
bx-nginx-1.30.2-0.el9.src.rpm 4.6 MB/s | 118 MB 00:25
[root@localhost ~]#Не откладывайте обновление. Для NGINX Rift в открытом доступе есть эксплойт с обходом ASLR; попытки эксплуатации зафиксированы исследователями безопасности.