В мае 2026 года создатели nginx в сотрудничестве со специалистами F5 объявили об обнаружении семи уязвимостей в одном из самых востребованных веб-серверов в мире. Чтобы защитить своих пользователей, компания 1С-Битрикс экстренно подготовила обновление bx-nginx 1.30.2 для виртуальной среды VMBitrix. В этом патче закрыты все выявленные дыры в безопасности, в том числе наиболее критичные: CVE-2026-9256 («nginx-poolslip») и NGINX Rift (CVE-2026-42945). Угроза требует немедленных действий, так как в сети уже опубликован действующий эксплойт для NGINX Rift .
Главный вывод: администраторам серверов на базе VMBitrix следует как можно скорее установить обновление bx-nginx 1.30.2. Эксперты уже отмечают активные попытки злоумышленников использовать эксплойт для NGINX Rift, умеющий обходить механизмы ASLR-защиты.
Детали инцидента
Совсем недавно специалисты F5 и разработчики nginx представили совместный отчет о шести багах в nginx Open Source и nginx Plus. В тот же день вышли спасительные обновления для стабильной (nginx 1.30.1) и основной (nginx 1.31.0) версий. Позднее, 22 мая, в ходе дальнейшего аудита была обнаружена и закрыта еще одна, седьмая брешь (исправление включено в nginx 1.31.1).
Наивысшую опасность представляет уязвимость NGINX Rift (CVE-2026-42945), связанная с переполнением буфера (heap) в модуле rewrite. Этот баг, найденный исследователями из depthfirst, находился в кодовой базе еще с 2008 года, затрагивая все сборки nginx Open Source с версии 0.6.27 по 1.30.0. Учитывая глобальную распространенность nginx, под ударом оказалось огромное количество инфраструктур, в том числе серверные решения 1С-Битрикс. Команда Битрикс быстро скомпилировала пропатченную версию веб-сервера, провела тесты совместимости с VMBitrix и 25 мая выпустила защитный апдейт bx-nginx 1.30.2.
Устраненные угрозы безопасности
| Номер CVE |
Суть уязвимости |
Уровень CVSS |
Кто обнаружил |
CVE-2026-42945
(NGINX Rift) |
Переполнение памяти в куче (Heap buffer overflow) внутри ngx_http_rewrite_module ; допускает выполнение произвольного кода (RCE) без авторизации |
9.2 (v4) / 8.1 (v3.1) |
depthfirst / F5 |
CVE-2026-9256
(nginx-poolslip) |
Баг переполнения буфера внутри ngx_http_rewrite_module , возникающий при перекрытии PCRE-захватов; угроза RCE |
Средняя (Medium) по шкале nginx |
Mufeed VH (Winfunc Research) |
| CVE-2026-42926 |
Инъекция HTTP/2-запросов посредством параметра proxy_set_body , если активна proxy_http_version 2 |
Средняя (Medium) |
Mufeed VH (Winfunc Research) |
| CVE-2026-40701 |
Использование уже освобожденной памяти (Use-after-free) внутри ngx_http_ssl_module при включенной опции ssl_ocsp |
Средняя (Medium) |
Leo Lin |
| CVE-2026-42946 |
Чтение данных за пределами буфера (Buffer overread) в компонентах ngx_http_uwsgi_module и ngx_http_scgi_module |
8.3 (v4) |
F5 |
| CVE-2026-42934 |
Уязвимость чтения за границами памяти в ngx_http_charset_module во время обработки UTF-8 в директиве charset_map |
Низкая (Low) |
F5 |
| CVE-2026-40460 |
Спуфинг IP-адресов (Address spoofing) по протоколу HTTP/3 в момент миграции QUIC-подключений |
Средняя (Medium) |
Rodrigo Laneth |
Интересно, что сама команда nginx присвоила уязвимости CVE-2026-42945 средний приоритет (severity medium). Тем не менее, аналитики F5, первооткрыватели из depthfirst и ряд независимых лабораторий (Qualys, Orca Security, Cloud Security Alliance) оценивают угрозу в 9.2 балла по стандарту CVSS v4, относя ее к критическим. Разработчики 1С-Битрикс солидарны с мнением ИБ-сообщества и также считают эту проблему критической.
На какие системы влияет проблема
Данное обновление критически важно для серверов, развернутых на VMBitrix — фирменной виртуальной машине 1С-Битрикс, где nginx является встроенным веб-сервером. Уязвимости могут быть проэксплуатированы, если активны соответствующие функции (rewrite, ssl_ocsp, proxy_set_body поверх HTTP/2, директивы charset_map, а также uwsgi/scgi-проксирование или протокол HTTP/3). Стоит подчеркнуть: в базовых конфигурациях VMBitrix модуль rewrite обычно включен, из-за чего риск взлома через NGINX Rift весьма высок.
Серверы облачной версии Битрикс24 и собственные ИТ-контуры 1С-Битрикс были защищены соответствующими патчами еще до публикации этой новости.
Важное замечание: если вы администрируете инсталляции nginx на других серверах (не использующих VMBitrix), вам придется обновлять их самостоятельно, опираясь на релизы официальных мейнтейнеров ваших дистрибутивов.
Инструкция по установке патчей
Чтобы обезопасить вашу среду VMBitrix, обязательно выполните процесс обновления через консоль: dnf clean all && dnf update
В случае, если вам требуется собрать nginx с дополнительными модулями, не входящими в стандартный пакет VMBitrix, используйте репозиторий исходников.
Добавьте конфигурационный файл репозитория /etc/yum.repos.d/bitrix-source-9.repo со следующим содержимым:
[bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9
Удостоверьтесь, что на сервере присутствуют утилиты dnf-utils и yum-utils:
dnf clean all && dnf install -y dnf-utils yum-utils
Скачайте исходники пакета bx-nginx:
yumdownloader --source bx-nginx
Примерный вывод терминала должен быть таким:
[root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source 2.4 MB/s | 4.3 MB 00:01
Rocky Linux 9 - BaseOS - Source 429 kB/s | 423 kB 00:00
Rocky Linux 9 - AppStream - Source 280 kB/s | 945 kB 00:03
Rocky Linux 9 - CRB - Source 116 kB/s | 139 kB 00:01
Rocky Linux 9 - Extras Source 10 kB/s | 14 kB 00:01
bx-nginx-1.30.2-0.el9.src.rpm 4.6 MB/s | 118 MB 00:25
[root@localhost ~]#
Настоятельно рекомендуем не откладывать апдейт. В руках хакеров уже есть рабочий эксплойт для NGINX Rift, который успешно обходит защиту ASLR, и специалисты по безопасности регулярно фиксируют попытки применения этой уязвимости на практике.