Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Маркет
Пополнить PlayStation
Викторина
Темы
Игры
Офтоп
Гайды
Кино и сериалы
Ночной музпостинг
Творчество
Вопросы
Инди
Скриншоты
Музыка
Показать все
DTF
Granger
1990 - 2025
О проекте
Правила
Реклама
Приложения

Мы используем
рекомендации.

Эдуард Козлов
Гайды

Разбор майского батча уязвимостей nginx: что там с NGINX Rift и как фиксить в экосистеме Битрикса

Май 2026-го выдался жарким для всех, кто работает с nginx. Команда nginx и F5 скоординированно раскрыли шесть уязвимостей, а 22 мая — седьмую. Вышли исправленные версии: nginx 1.30.1 (stable), 1.31.0 (mainline) и 1.31.1. Среди всего букета — CVE-2026-42945, она же NGINX Rift: heap-уязвимость в модуле rewrite, обнаруженная командой depthfirst. Жила в коде с 2008 года, затрагивает всё от 0.6.27 до 1.30.0.

Разработчики «1С-Битрикс» пересобрали nginx с патчами, протестировали в составе VMBitrix и 25 мая опубликовали пакет bx-nginx 1.30.2. Теперь по делу: как это фиксить и где грабли. Мы в Брейнфорс уже провели обновление у части клиентов, остальные - в очереди.

Если у вас BitrixVM 9.x

Всё просто. Обновление через штатный пакетный менеджер:

dnf clean all && dnf update

В большинстве случаев этого достаточно. Никакой магии.

Если у вас BitrixVM 7.x — вот тут сюрприз

Для тех, кто ещё сидит на CentOS 7: патч bx-nginx-1.30.2 в вашу среду не встанет. И дело не в том, что «Битрикс забил». Техническая реальность такова:

  • Пакет собран под EL9. bx-nginx-1.30.2-0.el9.src.rpm — это SRPM, исходный RPM, заточенный под окружение RHEL 9 / AlmaLinux 9 / Rocky Linux 9. Он требует современные версии системных библиотек, включая OpenSSL 3.x и актуальный glibc. Попытка пересборки на CentOS 7 — это веер ошибок зависимостей и негарантированная работоспособность бинарника на выходе.
  • CentOS 7 — EOL. Сопровождение репозиториев прекращено. Обновления безопасности не приходят не только на nginx, но и на всё остальное. Ваша VM — это легаси без поддержки.
  • In-place upgrade невозможен. Архитектура CentOS не предусматривает миграцию с 7 на 9. Обновить BitrixVM 7.5.5 до 9.0.10 «накатом» нельзя.

Что делать владельцам BitrixVM 7

Ответ один: миграция. Процесс стандартный — полный бэкап, разворачивание чистого сервера на BitrixVM 9.x, восстановление из бэкапа.

И да, если ваш менеджмент или заказчик спрашивает, «почему мы должны этим заниматься», — вот готовый аргумент: «Сервер работает на ОС с завершённым жизненным циклом. Конкретно этот патч поставить технически невозможно. Следующая уязвимость nginx — и мы снова в таком же положении, только риски будут расти. Миграция — не прихоть, а необходимость».

Итог коротко

  • BitrixVM 9: dnf clean all && dnf update, инцидент закрыт.
  • BitrixVM 7: только миграция. Патч недоступен, среда неподдерживаемая.

Проверьте свои машины и принимайте решение. Лучше сегодня, чем в день следующего батча.

8 комментариев