В мае 2026 года были раскрыты уязвимости nginx – одного из ключевых компонентов веб-инфраструктуры. 1С-Битрикс выпустил обновлённый пакет bx-nginx 1.30.2 для VMBitrix. Разбираем, кого это касается, что нужно сделать администраторам и почему коробочный портал нельзя оставлять без регулярного сопровождения.
- Что произошло
- Почему это важно
- Кого касается
- Что сделать сейчас
- Какие CVE закрывает обновление
- Почему нужен регулярный контроль
Если ваш коробочный Битрикс24 работает на VMBitrix, нужно проверить, что пакет bx-nginx обновлён до версии 1.30.2. Если nginx используется ещё где-то за пределами VMBitrix – на прокси, балансировщиках, тестовых стендах или в другом контуре – эти инсталляции нужно обновлять отдельно.
Что произошло
В мае 2026 года команда nginx и компания F5 раскрыли несколько уязвимостей в nginx Open Source и nginx Plus. Среди них – CVE-2026-42945, также известная как NGINX Rift: уязвимость в модуле ngx_http_rewrite_module, который используется для обработки правил rewrite, if и set.
Для бизнеса важна не сама аббревиатура CVE, а практический вывод: nginx часто стоит на внешнем периметре и принимает HTTP-запросы раньше, чем они попадают в приложение. Если такой компонент не обновлять, риск оказывается не внутри портала, а на уровне инфраструктуры, через которую портал доступен пользователям.
1С-Битрикс выпустил пакет bx-nginx 1.30.2 для VMBitrix – официальной виртуальной машины, которую используют многие владельцы коробочных порталов Битрикс24 и сайтов на 1С-Битрикс.
Почему это важно именно для коробочного Битрикс24
В облачном Битрикс24 инфраструктурные обновления выполняются на стороне вендора. В коробочной версии ответственность устроена иначе: портал развёрнут на инфраструктуре компании, а значит, серверное окружение, обновления, мониторинг и регламенты эксплуатации должны контролироваться владельцем портала или подрядчиком сопровождения.
Коробка зависит от окружения
Безопасность портала определяется не только кодом Битрикс24, но и состоянием ОС, веб-сервера, PHP, базы данных и сетевых компонентов
Риск может быть снаружи
Уязвимость в nginx может затрагивать входной контур до того, как запрос попадёт в сам портал
Обновление нужно подтвердить
Недостаточно знать, что патч выпущен. Важно проверить, что он действительно установлен на всех нужных серверах
Нужен регулярный процесс
Критические обновления должны попадать в понятный регламент: оценка, окно работ, резервная копия, проверка и фиксация результата
Кого касается обновление
В первую очередь – компании, у которых коробочный Битрикс24 или сайт на 1С-Битрикс развёрнуты на VMBitrix и используют пакет bx-nginx из стандартной поставки виртуальной машины.
- Коробочный Битрикс24 на VMBitrix. Нужно проверить версию bx-nginx и применить обновления, если пакет ещё не обновлён
- Сайты на 1С-Битрикс на VMBitrix. Если используется nginx из состава VMBitrix, обновление относится и к этому контуру
- Отдельные nginx-серверы. Балансировщики, reverse proxy, ingress, тестовые стенды и другие nginx-инсталляции обновляются не через bx-nginx, а по регламенту соответствующей системы
- Старые или забытые стенды. Тестовые, архивные и временные окружения часто остаются без обновлений, но при этом могут быть доступны из сети
bx-nginx 1.30.2 закрывает вопрос для nginx в составе VMBitrix. Но если у компании есть отдельный nginx перед порталом или рядом с ним, этот контур нужно инвентаризировать и обновлять отдельно. Один обновлённый сервер не означает, что весь периметр защищён.
Что сделать сейчас
Базовый сценарий для VMBitrix – обновить пакеты виртуальной машины. Перед обновлением важно действовать по стандартному регламенту: проверить резервные копии, зафиксировать текущее состояние, согласовать окно работ и убедиться, что после обновления портал работает штатно.
После обновления администратору стоит проверить версию установленного пакета, статус nginx и доступность портала для пользователей. Если обновление выполняется на боевом портале, лучше заранее предусмотреть окно работ и план отката.
Минимальный чек-лист для администратора
- Проверить, используется ли VMBitrix и установлен ли пакет bx-nginx
- Проверить текущую версию bx-nginx
- Сделать или проверить актуальность резервной копии
- Выполнить обновление пакетов VMBitrix
- Проверить, что nginx перезапущен и портал открывается корректно
- Проверить отдельные nginx-контуры: прокси, балансировщики, тестовые стенды, внешние шлюзы
- Зафиксировать обновление в журнале работ или системе заявок
Какие уязвимости закрывает обновление
Для управленческого решения не обязательно разбирать каждую CVE на уровне исходного кода. Но полезно понимать масштаб: в майском раскрытии были затронуты разные модули nginx, включая rewrite, proxy, ssl, charset, uwsgi/scgi и HTTP/3.
| CVE | Что затрагивает | Почему важно |
|---|---|---|
| CVE-2026-42945 | ngx_http_rewrite_module | Одна из наиболее обсуждаемых уязвимостей майского раскрытия. При определённых условиях может приводить к отказу в обслуживании или потенциально к выполнению кода |
| CVE-2026-9256 |
rewrite PCRE captures |
Связана с обработкой пересекающихся регулярных выражений и может быть критична для конфигураций с активным rewrite |
| CVE-2026-42926 |
proxy HTTP/2 |
Затрагивает сценарии проксирования и может быть важна для сложных инфраструктурных схем |
| CVE-2026-40701 | ssl_ocsp | Относится к SSL-модулю и проверке статуса сертификатов |
| CVE-2026-42946 |
uwsgi scgi |
Актуальна для инфраструктур, где nginx используется как прокси к соответствующим backend-сервисам |
| CVE-2026-42934 | charset | Связана с обработкой кодировок и нестандартных конфигураций charset_map |
| CVE-2026-40460 |
HTTP/3 QUIC |
Важна для контуров, где включён HTTP/3 и используется миграция QUIC-соединений |
Почему одного разового обновления недостаточно
Ситуация с bx-nginx хорошо показывает типовой риск коробочных систем: проблема может появиться не в бизнес-логике портала, а в инфраструктурном слое, который многие компании вспоминают только в момент инцидента.
Для корпоративного портала важно не только установить обновление, но и выстроить регулярный процесс: кто отслеживает критические патчи, кто оценивает применимость, кто согласует окно работ, кто проверяет результат и где фиксируются изменения.
Мониторинг
Отслеживать состояние сервисов, доступность портала, ошибки nginx, дисковое пространство и нагрузку
Патч-менеджмент
Регулярно проверять обновления VMBitrix, ОС и сопутствующих компонентов, а не реагировать только на критические новости
Регламент работ
Фиксировать, кто отвечает за обновление, как проводится проверка и что делать, если после патча возникнут ошибки
Контроль всех контуров
Проверять не только боевой портал, но и прокси, балансировщики, тестовые стенды и старые виртуальные машины
Если коробочный Битрикс24 работает на VMBitrix, проверьте обновление bx-nginx до версии 1.30.2. Если nginx используется отдельно от VMBitrix, такие серверы нужно обновлять отдельно. Коробочный Битрикс24 требует регулярного инфраструктурного сопровождения: мониторинга, обновлений, резервного копирования и понятного регламента работ.
Нужно проверить коробочный Битрикс24?
ПУСК сопровождает коробочные порталы Битрикс24: контролируем обновления, состояние серверного окружения, доступность портала и риски инфраструктуры. Поможем проверить VMBitrix, nginx и сопутствующие компоненты, чтобы портал работал стабильно и безопасно.
