Новости
1С-Битрикс выпустил bx-nginx 1.30.2 в ответ на майское раскрытие уязвимостей веб-сервера nginx
В мае 2026 года команда nginx и компания F5 раскрыли семь уязвимостей в веб-сервере nginx — одном из самых распространённых компонентов веб-инфраструктуры в мире.
В ответ на это компания «1С-Битрикс» выпустила обновлённый пакет bx-nginx 1.30.2 для виртуальной машины VMBitrix.
Пакет включает патчи для всех семи уязвимостей, включая две критические: NGINX Rift (CVE-2026-42945) и CVE-2026-9256 («nginx-poolslip»).
Что произошло
Недавно команда nginx и компания F5 опубликовали данные о шести уязвимостях в nginx Open Source и nginx Plus, одновременно выпустив исправленные версии nginx 1.30.1 и 1.31.0. 22 мая была раскрыта и исправлена седьмая уязвимость (nginx 1.31.1).
Среди них — NGINX Rift (CVE-2026-42945), heap-уязвимость в модуле rewrite, обнаруженная командой depthfirst. Она присутствовала в коде с 2008 года и затрагивает все версии nginx Open Source от 0.6.27 до 1.30.0.
Так как nginx используется в подавляющем большинстве веб-инфраструктур, включая продукты «1С-Битрикс», компания оперативно пересобрала и протестировала обновленный пакет.
Обновление bx-nginx 1.30.2 было опубликовано 25 мая.
Список уязвимостей
| CVE | Класс / Описание | Уровень риска |
|---|---|---|
| CVE-2026-42945 | Heap buffer overflow в ngx_http_rewrite_module | Критический (CVSS 9.2) |
| CVE-2026-9256 | Heap buffer overflow при overlapping PCRE captures | Medium |
| CVE-2026-42926 | HTTP/2 request injection через proxy_set_body | Medium |
| CVE-2026-40701 | Use-after-free в ngx_http_ssl_module | Medium |
| CVE-2026-42946 | Buffer overread в ngx_http_uwsgi и ngx_http_scgi | High (8.3) |
| CVE-2026-42934 | Buffer overread в ngx_http_charset_module | Low |
| CVE-2026-40460 | Address spoofing в HTTP/3 при миграции соединения | Medium |
Кого это касается
Обновление обязательно для всех инсталляций, использующих официальную виртуальную машину VMBitrix.
Уязвимости актуальны для тех сценариев, где используются соответствующие модули (rewrite, proxy_set_body, ssl_ocsp, charset_map, HTTP/3 и другие).
Большинство стандартных конфигураций VMBitrix используют
rewrite-модуль и, следовательно, подвержены угрозе.
Облачные версии Битрикс24 и инфраструктура «1С-Битрикс» уже обновлены.
Если nginx используется в вашей инфраструктуре отдельно от VMBitrix, его необходимо обновлять в рамках релизов соответствующих производителей.
Что нужно сделать
Для защиты VMBitrix выполните обновление виртуальных машин:
dnf clean all && dnf update
Если вам требуется работа с исходным кодом пакета (вне стандартной поставки VMBitrix), используйте репозиторий исходных версий:
-
Создайте файл
/etc/yum.repos.d/bitrix-source-9.repo. -
Убедитесь в наличии утилит:
dnf clean all && dnf install -y dnf-utils yum-utils. -
Скачайте исходники:
yumdownloader --source bx-nginx.
Внимание: Не откладывайте обновление. Для NGINX Rift в открытом доступе уже есть эксплойт с обходом ASLR, попытки атак активно фиксируются исследователями безопасности.
