Обновление bx-nginx с устранением уязвимости
Коллеги, пакет bx-nginx сформирован и вышел в релиз без выпуска виртуальной машины VMBitrix.
Обновлением 1.30.3 устраняем 3 уязвимости, две из которых имеют критический уровень опасности:
Обновление ПО:
nginx 1.30.3
Основные исправления:
nginx обновлен до 1.30.3 (пакет bx-nginx 1.30.3), openssl до 3.5.7.
Исходники пакета:
Добавляем файл для репозитория исходных версий /etc/yum.repos.d/bitrix-source-9.repo с содержимым:
Убедимся что есть пакеты dnf-utils и yum-utils:
Скачиваем исходники: bx-nginx
Примерный ответ в консоли:
Всем удачи. Спасибо за обратную связь!
Коллеги, пакет bx-nginx сформирован и вышел в релиз без выпуска виртуальной машины VMBitrix.
Обновлением 1.30.3 устраняем 3 уязвимости, две из которых имеют критический уровень опасности:
- CVE-2026-42530: критично, обращение к уже освобождённой памяти (use-after-free) в реализации протокола HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода с правами рабочего процесса при обработке специально оформленного сеанса по протоколу QUIC
- CVE-2026-42055: критично, переполнение буфера в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module, проявляющееся при проксировании специально оформленных запросов по протоколу HTTP/2 или к бэкенду gRPC. Проблеме присвоен критический уровень опасности (9.2 из 10), допускающий удалённое выполнение кода. Уязвимость проявляется в конфигурациях с настройкой "ignore_invalid_headers off;" и большим значением "large_client_header_buffers".
- CVE-2026-48142: чтение из области вне выделенного буфера при обработке специально оформленных запросов, приводящих к перекодированию текста в кодировке UTF-8 при помощи модуля ngx_http_charset_module. Уязвимость появляется в конфигурациях с директивой "charset_map" при наличии в блоке location директив "source_charset utf-8" и "charset другая_кодировка". Проблеме присвоен средний уровень опасности (6.3 из 10), допускающий утечку содержимого памяти рабочего процесса.
Обновление ПО:
nginx 1.30.3
Основные исправления:
nginx обновлен до 1.30.3 (пакет bx-nginx 1.30.3), openssl до 3.5.7.
Исходники пакета:
Добавляем файл для репозитория исходных версий /etc/yum.repos.d/bitrix-source-9.repo с содержимым:
| Код |
|---|
[bitrix-source-9] name=Bitrix Packages Source for Enterprise Linux 9 - x86_64 baseurl=https://repo.bitrix24.tech/dnf/SRPMS enabled=1 gpgcheck=1 priority=1 failovermethod=priority gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9 |
Убедимся что есть пакеты dnf-utils и yum-utils:
| Код |
|---|
dnf clean all && dnf install -y dnf-utils yum-utils |
Скачиваем исходники: bx-nginx
| Код |
|---|
yumdownloader --source bx-nginx |
Примерный ответ в консоли:
| Код |
|---|
[root@localhost ~]# yumdownloader --source bx-nginx enabling epel-source repository enabling epel-cisco-openh264-source repository enabling rpmfusion-free-updates-source repository enabling rpmfusion-nonfree-updates-source repository Extra Packages for Enterprise Linux 9 - x86_64 - Source 2.0 MB/s | 4.3 MB 00:02 RPM Fusion for EL 9 - Free - Updates Source 21 kB/s | 21 kB 00:00 RPM Fusion for EL 9 - Nonfree - Updates Source 16 kB/s | 14 kB 00:00 bx-nginx-1.30.3-0.el9.src.rpm 5.9 MB/s | 118 MB 00:20 [root@localhost ~]# |
Всем удачи. Спасибо за обратную связь!