Безопасность и инфраструктура

1С-Битрикс выпустил bx-nginx 1.30.2: срочное обновление для VMBitrix

Обновление закрывает семь уязвимостей nginx, включая критические NGINX Rift и nginx-poolslip.

Что произошло

В мае 2026 года команда nginx и компания F5 раскрыли серию уязвимостей в веб-сервере nginx — одном из самых распространённых компонентов современной веб-инфраструктуры.

В ответ на это 1С-Битрикс выпустил пакет bx-nginx 1.30.2 для виртуальной машины VMBitrix. Обновление включает патчи для всех семи уязвимостей nginx, в том числе для двух наиболее опасных:

NGINX Rift — CVE-2026-42945
nginx-poolslip — CVE-2026-9256

Кратко

Если вы используете VMBitrix, обновите bx-nginx до версии 1.30.2 как можно быстрее. Для NGINX Rift уже опубликован рабочий эксплойт с обходом ASLR.

Почему это важно для сайтов на 1С-Битрикс

nginx используется в VMBitrix

VMBitrix — официальная виртуальная машина 1С-Битрикс, в составе которой поставляется веб-сервер nginx. Поэтому уязвимости nginx могут затрагивать сайты, интернет-магазины и порталы, работающие на этой инфраструктуре.

Есть риск удалённой эксплуатации

Наиболее опасная уязвимость — NGINX Rift — связана с heap buffer overflow в модуле rewrite. В худшем сценарии она может привести к неаутентифицированному удалённому выполнению кода.

Какие уязвимости закрывает bx-nginx 1.30.2

Обновление bx-nginx 1.30.2 включает исправления для семи уязвимостей, раскрытых в мае 2026 года.

CVE	Описание	Уровень риска	Компонент
CVE-2026-42945 NGINX Rift	Heap buffer overflow в `ngx_http_rewrite_module`. Возможен сценарий неаутентифицированного RCE.	Critical	rewrite
CVE-2026-9256 nginx-poolslip	Heap buffer overflow при overlapping PCRE captures. Потенциально может привести к RCE.	Medium	rewrite / PCRE
CVE-2026-42926	HTTP/2 request injection через `proxy_set_body` при использовании `proxy_http_version 2`.	Medium	proxy / HTTP/2
CVE-2026-40701	Use-after-free в `ngx_http_ssl_module` при использовании `ssl_ocsp`.	Medium	SSL / OCSP
CVE-2026-42946	Buffer overread в модулях `ngx_http_uwsgi_module` и `ngx_http_scgi_module`.	High	uwsgi / scgi
CVE-2026-42934	Buffer overread в `ngx_http_charset_module` при использовании UTF-8 в `charset_map`.	Low	charset
CVE-2026-40460	Address spoofing в HTTP/3 при QUIC connection migration.	Medium	HTTP/3 / QUIC

NGINX Rift: главная причина срочного обновления

NGINX Rift — это уязвимость CVE-2026-42945 в модуле ngx_http_rewrite_module. По исходной информации, проблема существовала в коде nginx с 2008 года и затрагивала версии nginx Open Source от 0.6.27 до 1.30.0.

Опасность уязвимости в том, что при определённых условиях она может привести к удалённому выполнению кода без аутентификации. Дополнительно ситуацию усиливает то, что для NGINX Rift уже есть публичный эксплойт с обходом ASLR.

Хотя команда nginx классифицирует CVE-2026-42945 как medium, внешние исследователи и аналитики оценивают её значительно выше — вплоть до CVSS v4 9.2, что соответствует критическому уровню риска.

Важно

Большинство стандартных конфигураций VMBitrix использует rewrite-модуль, поэтому обновление нельзя откладывать «до планового окна», если сервер доступен из интернета.

Кого касается обновление

VMBitrix

В первую очередь обновление необходимо всем инсталляциям, которые используют официальную виртуальную машину 1С-Битрикс.

Сайты и магазины

Под риск могут попадать сайты, интернет-магазины и порталы, где nginx работает как фронтенд веб-сервер.

Кастомные конфигурации

Особое внимание нужно уделить серверам с rewrite, HTTP/2 proxy, OCSP, HTTP/3, uwsgi/scgi и charset_map.

Другие контуры

Если nginx используется не только в VMBitrix, такие серверы нужно обновлять отдельно через соответствующие пакеты и репозитории.

Что делать администраторам VMBitrix

Для защиты VMBitrix необходимо обновить пакеты на виртуальной машине. Базовая команда обновления:

dnf clean all && dnf update

После обновления рекомендуется проверить установленную версию пакета bx-nginx:

rpm -qa | grep bx-nginx

Также стоит перезапустить nginx, если это не произошло автоматически в рамках обновления:

systemctl restart nginx

Перед обновлением

Сделайте резервную копию конфигураций.
Проверьте наличие кастомных модулей nginx.
Запланируйте короткое техническое окно.
После обновления проверьте доступность сайта.

Если требуется собрать nginx с дополнительным модулем

Если в вашей инфраструктуре используется дополнительный модуль nginx вне стандартной поставки VMBitrix, можно использовать репозиторий исходных версий пакетов.

Создайте файл:

/etc/yum.repos.d/bitrix-source-9.repo

И добавьте в него содержимое:

[bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9

Установите необходимые утилиты:

dnf clean all && dnf install -y dnf-utils yum-utils

Затем скачайте исходники bx-nginx:

yumdownloader --source bx-nginx

Для DevOps

Если вы пересобираете nginx самостоятельно, важно убедиться, что в сборку попали все патчи из bx-nginx 1.30.2, а не только обновлённая версия исходников.

Что проверить после обновления

Проверка версии

Убедитесь, что установлен именно обновлённый пакет bx-nginx:

rpm -qa | grep bx-nginx

Проверка конфигурации

Перед перезапуском или после внесения изменений проверьте конфигурацию nginx:

nginx -t

Проверка сайта

Откройте главную страницу.
Проверьте авторизацию.
Проверьте оформление заказа.
Посмотрите ошибки в логах.

Проверка логов

После обновления проверьте ошибки nginx:

journalctl -u nginx -n 100 --no-pager

SEO

SEO Title

1С-Битрикс выпустил bx-nginx 1.30.2: срочное обновление VMBitrix из-за уязвимостей nginx

SEO Description

1С-Битрикс выпустил bx-nginx 1.30.2 для VMBitrix. Обновление закрывает семь уязвимостей nginx, включая критические NGINX Rift и nginx-poolslip. Узнайте, кого касается обновление и что нужно сделать администраторам.

SEO Keywords

1С-Битрикс, VMBitrix, bx-nginx 1.30.2, nginx, уязвимость nginx, NGINX Rift, CVE-2026-42945, CVE-2026-9256, nginx-poolslip, безопасность сайта, обновление VMBitrix, 1С-Битрикс безопасность, Bitrix nginx, dnf update, уязвимости nginx 2026

Итоги и рекомендации

1С-Битрикс выпустил bx-nginx 1.30.2 для закрытия семи уязвимостей nginx в VMBitrix.
Главный риск связан с NGINX Rift — уязвимостью, для которой уже есть публичный эксплойт.
Если ваш сайт работает на VMBitrix, обновление нужно выполнить как можно быстрее.
После обновления проверьте версию пакета, конфигурацию nginx, логи и ключевые сценарии сайта.

Нужна помощь?

Проверим вашу VMBitrix, обновим bx-nginx, протестируем сайт после обновления и убедимся, что инфраструктура защищена.

Заказать проверку сайта