VMBitrix 9.0.0

Есть. Использовать vpn или прокси для обновления.

Большая проблема, которая грозит переполнением места на маленьких серверах.

Не работает очистка логов /var/log/secure, /var/log/messages и /var/log/cron

Bitrix Env 9 - все версии до 9.0.10 (9.0.10 не проверял)

Боты пытаются подобрать пароли, но не могут.

При этом стремительно растут логи  /var/log/secure и /var/log/messages (по 2,5 гигабайта за 6 месяцев)

Ещё файл /var/log/cron - сотни мегабайт, от нашего стандартного крона раз в минуту

Почему logrotate не работает для этих файлов? Он не настроен для них?

Ну только ПНУТЬ провайдера открыть доступ до репозиториев.
И переустановить пакеты, и потом заново по пунктам.

Ну ли прокси + сервис на 3 буквы - что-бы прочитать зависимые пакеты, поскольку в ОФ Яндекса не все есть.

У меня тоже на 8.5

Опишу способ восстановления, может кому пригодится.

Ошибка вызвана тем, что часть скриптов в menu.sh написана на perl и интерпретатору, для взаимодействия с mysql, необходим пакет perl-DBD-MySQL, который в данном случае отсутствует.

Попытка установить пакет из текущего репозитория решит проблему на несколько секунд, после чего скрипт /opt/webdir/bin/downgrade_perl_mysql.sh, который из крона вызывается 1 раз в минуту, удалит пакет.

По логике скрипта, он проверяет версию пакета и если версия не удовлетворяет, то удаляет установленный пакет и устанавливает необходимый.

В моем случае необходимый пакет был недоступен в текущем репозитории, поэтому ставим его руками:

После установки проверяем работоспособность:Должно вернуть "ОК"

Также нужно проверить /etc/dnf/dnf.conf
В нем директива exclude должна быть в единственном числе и содержать perl-DBD-MySQL.

В моем случае директив exclude было две, т.к. скрипт, который внес пакет в исключение не проверил существование этой директивы и просто добавил еще одну, что недопустимо по синтаксису. В результате чего отрабатывала только последняя директива, в которой этот пакет не указан, пакет обновлялся и успешно удалялся сценарием из крона.

Собсно, отсутствие проверки на наличие существующей директивы  exclude в файле dnf.conf и привело к поломке menu.sh и написанию этого опуса.

Прошу разработчиков учесть этот момент.

Этот скрипт при ребуте не вызывается.
Основная причина не перезагрузка, а обновление пакетов. Исправление в процессе, выйдет в следующей версии.

Мы используем технологию выбора зеркал от самой ОС. При обновлении и т.д. ваша ОС идет на список зеркал, по GeoIP выбирается сервер поближе к вашей локации и пытается качать пакеты оттуда. Для каждой локации это разные url.
Если не срабатывает, или выбирает медленное зеркало, поменяйте урл в файлах репозитория, смените список на конкретный сервер.
Пример: https://dev.1c-bitrix.ru/community/forums/messages/forum32/topic159152/message7704­58/#message770458

Обновление bx-nginx с устранением уязвимости

Коллеги, пакет bx-nginx сформирован и вышел в релиз без выпуска виртуальной машины VMBitrix.

Обновлением 1.30.3 устраняем 3 уязвимости, две из которых имеют критический уровень опасности:

• CVE-2026-42530: критично, обращение к уже освобождённой памяти (use-after-free) в реализации протокола HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода с правами рабочего процесса при обработке специально оформленного сеанса по протоколу QUIC
  
• CVE-2026-42055: критично, переполнение буфера в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module, проявляющееся при проксировании специально оформленных запросов по протоколу HTTP/2 или к бэкенду gRPC. Проблеме присвоен критический уровень опасности (9.2 из 10), допускающий удалённое выполнение кода. Уязвимость проявляется в конфигурациях с настройкой "ignore_invalid_headers off;" и большим значением "large_client_header_buffers".
  
• CVE-2026-48142: чтение из области вне выделенного буфера при обработке специально оформленных запросов, приводящих к перекодированию текста в кодировке UTF-8 при помощи модуля ngx_http_charset_module. Уязвимость появляется в конфигурациях с директивой "charset_map" при наличии в блоке location директив "source_charset utf-8" и "charset другая_кодировка". Проблеме присвоен средний уровень опасности (6.3 из 10), допускающий утечку содержимого памяти рабочего процесса.
  

Обязательно обновите ваши виртуальные машины!

Обновление ПО:
nginx 1.30.3

Основные исправления:
nginx обновлен до 1.30.3 (пакет bx-nginx 1.30.3), openssl до 3.5.7.

Исходники пакета:
Добавляем файл для репозитория исходных версий /etc/yum.repos.d/bitrix-source-9.repo с содержимым:


Убедимся что есть пакеты dnf-utils и yum-utils:


Скачиваем исходники: bx-nginx


Примерный ответ в консоли:


Всем удачи. Спасибо за обратную связь!

Это практически везде теперь нужно будет.

Сделайте в новой версии, пожалуйста.

Раньше мы только для платёжной системы Сбербанка вручную делали, теперь другим платёжным системам придётся устанавливать. Это несложно, но это лишняя головная боль выяснять почему платежи не работают.

Всем добра!
В связи с периодическими набегами ботов требуется ограничить количество запросов с одного ip
Самое логичное решение - nginx limits + fail2ban

В /etc/nginx/bx/settings/limits.conf (settings инклюдится в nginx.conf):
Далее нужно бы в location php$ разместить (сейчас предположим что в / не нужно):Но локейшн расположен в nginx/bx/conf/bitrix.conf, директив include не содержит. Изменять его нехорошо - изменения пропадут при обновлении.
Можно переопределить, но тогда обновления, если будут, не применятся и придётся вручную вносить в новый локейшн (меньшее зло).
Использовать map - наверное можно, но усложнит конфиг.

Есть какие-либо рекомендованные методы работы с данным функционалом? Спасибо!