В мае 2026 года команда nginx и компания F5 раскрыли сразу несколько серьёзных уязвимостей в nginx — одном из самых распространённых веб-серверов в мире. Часть проблем уже получила публичные эксплойты, а попытки эксплуатации фиксируются исследователями безопасности.
Для пользователей VMBitrix это означает одно: обновление bx-nginx нельзя откладывать.
Если ваша инфраструктура работает на VMBitrix, рекомендуется срочно обновить пакет bx-nginx до версии 1.30.2.
Почему ситуация считается критической
Наибольшее внимание сейчас привлекает уязвимость NGINX Rift (CVE-2026-42945).
Что важно знать:
- уровень критичности достигает
CVSS 9.2 - опубликован рабочий exploit с обходом ASLR
- атаки уже замечены в реальной инфраструктуре
- проблема присутствовала в кодовой базе nginx с 2008 года
- затрагиваются многие типовые конфигурации nginx
По сути, речь идёт не о “теоретической” проблеме, а об уязвимости, для которой уже существует практический сценарий эксплуатации.
Что обновил 1С-Битрикс
Команда 1С-Битрикс выпустила обновлённый пакет bx-nginx 1.30.2, включающий исправления для всех раскрытых уязвимостей nginx, включая две наиболее опасные:
CVE-2026-42945(NGINX Rift)CVE-2026-9256(nginx-poolslip)
Обновление опубликовано специально для окружений на базе VMBitrix.
Кого касается обновление
Риски актуальны для:
- серверов на VMBitrix
- инфраструктуры с активным rewrite-модулем nginx
- конфигураций с HTTP/2, proxy_set_body, ssl_ocsp, uwsgi/scgi
- инсталляций с кастомными nginx-модулями
При этом:
- облачный Битрикс24 уже обновлён на стороне 1С-Битрикс
- standalone nginx вне VMBitrix нужно обновлять отдельно
- Docker-контейнеры и собственные сборки nginx также требуют проверки
Что рекомендуется сделать
Минимальный рекомендуемый шаг:
dnf clean all && dnf updateПосле обновления стоит дополнительно проверить:
- текущую версию nginx
- кастомные конфиги
- reverse proxy
- Docker-образы
- staging и резервные серверы
- CI/CD сборки с зафиксированными версиями nginx
Почему нельзя ждать “удобного окна”
Проблема уже вышла за рамки обычного security advisory:
- exploit опубликован публично
- сигнатуры уязвимостей анализируются массово
- после раскрытия CVE обычно начинается волна автоматизированного сканирования
Исторически именно такие ситуации становятся причиной массовых компрометаций плохо обслуживаемых серверов.
Если у вас нет уверенности, что обновление прошло корректно — лучше провести аудит nginx-конфигурации и проверить всю цепочку публикации проекта.
NJ Soft рекомендует не откладывать обновление VMBitrix и проверить все nginx-инсталляции в инфраструктуре, включая нестандартные окружения и legacy-сервера.
