2026 жылғы мамырда nginx жасаушылары F5 мамандарымен серіктестікте әлемдегі ең сұранысқа ие веб-серверлердің бірінде жеті осалдықтың табылғаны туралы жариялады. Өз пайдаланушыларын қорғау үшін 1С-Битрикс компаниясы VMBitrix виртуалды ортасына арналған bx-nginx 1.30.2 жаңартуын шұғыл түрде дайындады. Бұл патчта қауіпсіздік жүйесінде анықталған барлық саңылаулар, соның ішінде ең критикалық: CVE-2026-9256 («nginx-poolslip») және NGINX Rift (CVE-2026-42945) жойылды. Қауіп дереу әрекет етуді талап етеді, өйткені желіде NGINX Rift үшін қолданыстағы эксплойт жарияланып қойды .
Басты тұжырым: VMBitrix базасындағы сервер әкімшілеріне мүмкіндігінше тезірек bx-nginx 1.30.2 жаңартуын орнату қажет. Сарапшылар қаскүнемдердің ASLR қорғаныс механизмдерін айналып өте алатын NGINX Rift-ке арналған эксплойтты белсенді түрде қолдану әрекеттерін байқап отыр.
Оқиғаның егжей-тегжейі
Жақында ғана F5 мамандары мен nginx әзірлеушілері nginx Open Source және nginx Plus өнімдеріндегі алты баг туралы бірлескен есепті ұсынды. Дәл сол күні тұрақты (nginx 1.30.1) және негізгі (nginx 1.31.0) нұсқалар үшін құтқарушы жаңартулар шықты. Кейінірек, 22 мамырда, әрі қарайғы аудит барысында тағы бір, жетінші саңылау табылып, жабылды (түзету nginx 1.31.1 нұсқасына енгізілген).
Ең жоғары қауіпті NGINX Rift (CVE-2026-42945) осалдығы тудырады, ол rewrite модуліндегі буфердің (heap) толып кетуімен байланысты. depthfirst зерттеушілері тапқан бұл баг 2008 жылдан бастап код базасында болған және 0.6.27 нұсқасынан 1.30.0 нұсқасына дейінгі барлық nginx Open Source жинақтарына әсер еткен. nginx-тің жаһандық деңгейде кең таралғанын ескерсек, өте көп инфрақұрылымдар, соның ішінде 1С-Битрикс серверлік шешімдері соққы астында қалды. Битрикс командасы веб-сервердің патчталған нұсқасын тез арада компиляциялап, VMBitrix-пен үйлесімділік тестілерін жүргізді және 25 мамырда bx-nginx 1.30.2 қорғаныс апдейтін шығарды.
Жойылған қауіпсіздік қатерлері
| CVE нөмірі |
Осалдықтың мәні |
CVSS деңгейі |
Кім анықтады |
CVE-2026-42945
(NGINX Rift) |
ngx_http_rewrite_module ішіндегі үймедегі жадтың толып кетуі (Heap buffer overflow); авторизациясыз еркін кодты орындауға (RCE) жол береді |
9.2 (v4) / 8.1 (v3.1) |
depthfirst / F5 |
CVE-2026-9256
(nginx-poolslip) |
PCRE қармауларының беттесуі кезінде туындайтын ngx_http_rewrite_module ішіндегі буфердің толып кету багы; RCE қаупі |
nginx шкаласы бойынша Орташа (Medium) |
Mufeed VH (Winfunc Research) |
| CVE-2026-42926 |
Егер proxy_http_version 2 белсенді болса, proxy_set_body параметрі арқылы HTTP/2 сұрауларының инъекциясы |
Орташа (Medium) |
Mufeed VH (Winfunc Research) |
| CVE-2026-40701 |
ssl_ocsp опциясы қосулы болған кезде ngx_http_ssl_module ішінде босатылып қойған жадты пайдалану (Use-after-free) |
Орташа (Medium) |
Leo Lin |
| CVE-2026-42946 |
ngx_http_uwsgi_module және ngx_http_scgi_module компоненттерінде буфер шекарасынан тыс деректерді оқу (Buffer overread) |
8.3 (v4) |
F5 |
| CVE-2026-42934 |
charset_map директивасы ішінде UTF-8 өңдеу кезінде ngx_http_charset_module модуліндегі жад шекарасынан тыс оқу осалдығы |
Төмен (Low) |
F5 |
| CVE-2026-40460 |
QUIC қосылымдарының миграциясы сәтінде HTTP/3 хаттамасы бойынша IP-мекенжайларды спуфингтеу (Address spoofing) |
Орташа (Medium) |
Rodrigo Laneth |
Қызықтысы, nginx командасының өзі CVE-2026-42945 осалдығына орташа басымдық (severity medium) берген. Дегенмен, F5 аналитиктері, depthfirst алғашқы зерттеушілері және бірқатар тәуелсіз зертханалар (Qualys, Orca Security, Cloud Security Alliance) бұл қатерді CVSS v4 стандарты бойынша 9.2 баллға бағалап, критикалық деңгейге жатқызады. 1С-Битрикс әзірлеушілері АҚ (ақпараттық қауіпсіздік) қауымдастығының пікірімен келіседі және бұл мәселені критикалық деп санайды.
Бұл мәселе қандай жүйелерге әсер етеді
Бұл жаңарту VMBitrix — nginx кірістірілген веб-сервер болып табылатын 1С-Битрикс фирмалық виртуалды машинасы базасында өрістетілген серверлер үшін өте маңызды. Егер тиісті функциялар (rewrite, ssl_ocsp, HTTP/2 үстінен proxy_set_body, charset_map директивалары, сондай-ақ uwsgi/scgi-проксилеу немесе HTTP/3 хаттамасы) белсенді болса, осалдықтар пайдаланылуы мүмкін. Айта кету керек: VMBitrix базалық конфигурацияларында rewrite модулі әдетте қосулы болады, соның кесірінен NGINX Rift арқылы бұзылу қаупі өте жоғары.
Битрикс24 бұлттық нұсқасының серверлері мен 1С-Битрикстің жеке ИТ-контурлары бұл жаңалық жарияланғанға дейін-ақ тиісті патчтармен қорғалған болатын.
Маңызды ескерту: егер сіз басқа серверлердегі (VMBitrix қолданбайтын) nginx инсталляцияларын әкімшілендіретін болсаңыз, дистрибутивтеріңіздің ресми мейнтейнерлерінің релиздеріне сүйене отырып, оларды өз бетіңізше жаңартуыңыз керек.
Патчтарды орнату бойынша нұсқаулық
VMBitrix ортаңыздың қауіпсіздігін қамтамасыз ету үшін консоль арқылы жаңарту процесін міндетті түрде орындаңыз: dnf clean all && dnf update
Егер сізге nginx-ті VMBitrix стандартты пакетіне кірмейтін қосымша модульдермен жинау қажет болса, бастапқы кодтар репозиторийін пайдаланыңыз.
/etc/yum.repos.d/bitrix-source-9.repo репозиторийінің конфигурациялық файлын келесі мазмұнмен қосыңыз:
[bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9
Серверде dnf-utils және yum-utils утилиталарының бар екеніне көз жеткізіңіз:
dnf clean all && dnf install -y dnf-utils yum-utils
bx-nginx пакетінің бастапқы кодтарын жүктеңіз:
yumdownloader --source bx-nginx
Терминалдың шамамен алынған шығысы былай болуы тиіс:
[root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source 2.4 MB/s | 4.3 MB 00:01
Rocky Linux 9 - BaseOS - Source 429 kB/s | 423 kB 00:00
Rocky Linux 9 - AppStream - Source 280 kB/s | 945 kB 00:03
Rocky Linux 9 - CRB - Source 116 kB/s | 139 kB 00:01
Rocky Linux 9 - Extras Source 10 kB/s | 14 kB 00:01
bx-nginx-1.30.2-0.el9.src.rpm 4.6 MB/s | 118 MB 00:25
[root@localhost ~]#
Апдейтті кейінге қалдырмауды қатаң ұсынамыз. Хакерлердің қолында ASLR қорғанысын сәтті айналып өтетін NGINX Rift-ке арналған дайын жұмыс істейтін эксплойт бар және қауіпсіздік мамандары бұл осалдықты іс жүзінде қолдану әрекеттерін тұрақты түрде тіркеп отыр.