1С-Битрикс представил обновление bx-nginx 1.30.2 для закрытия майских уязвимостей веб-сервера nginx

В мае 2026 года разработчики nginx совместно с экспертами компании F5 сообщили о выявлении семи уязвимостей в популярном веб-сервере nginx, который выступает базовым компонентом для множества мировых интернет-проектов. В качестве оперативной меры компания 1С-Битрикс выпустила новую версию пакета bx-nginx 1.30.2 для среды VMBitrix. Данный релиз содержит исправления для всех найденных брешей, включая две самые опасные: CVE-2026-9256 («nginx-poolslip») и NGINX Rift (CVE-2026-42945). Ситуация критична, поскольку для NGINX Rift в свободном доступе уже появился рабочий эксплойт .

Коротко о главном: владельцам виртуальных машин VMBitrix настоятельно рекомендуется обновить пакет bx-nginx до версии 1.30.2 в ближайшие часы. В сети зафиксированы реальные попытки взлома через уязвимость NGINX Rift с применением эксплойта, который способен обходить защиту ASLR.

Суть проблемы

Недавно команда разработчиков nginx и аналитики F5 опубликовали скоординированный отчет о шести уязвимостях в продуктах nginx Plus и nginx Open Source. Одновременно были выпущены патчи в составе стабильной ветки (nginx 1.30.1) и основной (nginx 1.31.0). В рамках этого же расследования 22 мая была найдена и устранена седьмая уязвимость (вошла в релиз nginx 1.31.1).

Одной из самых серьезных угроз признана NGINX Rift (CVE-2026-42945) — ошибка переполнения буфера в куче внутри модуля rewrite. Эта проблема, выявленная экспертами команды depthfirst, скрывалась в исходном коде с 2008 года и присутствует во всех версиях nginx Open Source от 0.6.27 до 1.30.0 включительно. Так как nginx является стандартом отрасли, майские уязвимости затронули огромное число серверов, включая сборки, применяемые в экосистеме 1С-Битрикс. Разработчики оперативно пересобрали nginx с необходимыми заплатками, протестировали его работу в VMBitrix и 25 мая выкатили спасительное обновление bx-nginx 1.30.2.

Список закрытых уязвимостей

Сами разработчики nginx классифицируют брешь CVE-2026-42945 как уязвимость среднего уровня опасности (severity medium). Однако сторонние исследователи из depthfirst, независимые центры (Orca Security, Qualys, Cloud Security Alliance) и компания F5 оценивают ее на 9.2 балла по шкале CVSS v4, что соответствует статусу «critical». Компания 1С-Битрикс разделяет мнение внешних экспертов и относит данную уязвимость к разряду критических.

Кого это затрагивает

Релиз актуален для всех серверных конфигураций на базе VMBitrix (официальной виртуальной машины 1С-Битрикс), в состав которой по умолчанию входит веб-сервер nginx. Проблема дает о себе знать в тех случаях, когда в конфигурационном файле активированы уязвимые модули (rewrite, proxy_set_body для протокола HTTP/2, ssl_ocsp, параметры charset_map, поддержка HTTP/3 или uwsgi/scgi-проксирование). Важно отметить, что большинство стандартных настроек VMBitrix используют модуль rewrite, а значит, система потенциально уязвима для атак класса NGINX Rift.

Клиенты облачного сервиса Битрикс24 и внутренняя инфраструктура 1С-Битрикс были пропатчены разработчиком заранее, еще до выпуска данного публичного уведомления.

Обратите внимание: если в вашей архитектуре используются сторонние инсталляции nginx вне среды VMBitrix, их необходимо обновить вручную, скачав патчи с официальных ресурсов соответствующих разработчиков.

Руководство по обновлению

Для обеспечения безопасности VMBitrix в обязательном порядке запустите обновление вашей виртуальной машины командой: dnf clean all && dnf update

Если вам нужно подключить к nginx сторонний модуль, которого нет в базовом дистрибутиве VMBitrix, воспользуйтесь репозиторием с исходным кодом.

Создайте файл репозитория исходников по пути /etc/yum.repos.d/bitrix-source-9.repo и пропишите в нем следующий блок:

[bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9

Проверьте, установлены ли в системе пакеты yum-utils и dnf-utils:

dnf clean all && dnf install -y dnf-utils yum-utils

Загрузите исходные файлы пакета bx-nginx:

yumdownloader --source bx-nginx

Ожидаемый вывод командной строки будет выглядеть примерно так:

[root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source 2.4 MB/s | 4.3 MB 00:01
Rocky Linux 9 - BaseOS - Source 429 kB/s | 423 kB 00:00
Rocky Linux 9 - AppStream - Source 280 kB/s | 945 kB 00:03
Rocky Linux 9 - CRB - Source 116 kB/s | 139 kB 00:01
Rocky Linux 9 - Extras Source 10 kB/s | 14 kB 00:01
bx-nginx-1.30.2-0.el9.src.rpm 4.6 MB/s | 118 MB 00:25
[root@localhost ~]#

Не оттягивайте процесс установки патча. Злоумышленники уже имеют доступ к готовому эксплойту NGINX Rift с механизмом обхода ASLR, и аналитики информационной безопасности подтверждают наличие реальных попыток эксплуатации уязвимости в сети.