Обновление bx-nginx с устранением уязвимостей
Коллеги, пакет bx-nginx сформирован и вышел в релиз без выпуска виртуальной машины VMBitrix.
В этой версии переходим на новую стабильную ветку nginx 1.30.x.
Обновлением 1.30.1 устраняем 6 уязвимостей, одна из которых имеет критический уровень опасности:
Обновление ПО:
nginx 1.30.1
Основные исправления:
nginx обновлен до 1.30.1 (пакет bx-nginx 1.30.1), openssl до 3.5.6.
Исходники пакета:
Добавляем файл для репозитория исходных версий /etc/yum.repos.d/bitrix-source-9.repo с содержимым:
Убедимся что есть пакеты dnf-utils и yum-utils:
Скачиваем исходники: bx-nginx:
Примерный ответ в консоли:
Всем удачи. Спасибо за обратную связь!
Коллеги, пакет bx-nginx сформирован и вышел в релиз без выпуска виртуальной машины VMBitrix.
В этой версии переходим на новую стабильную ветку nginx 1.30.x.
Обновлением 1.30.1 устраняем 6 уязвимостей, одна из которых имеет критический уровень опасности:
- CVE-2026-42945: критично, вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI
- CVE-2026-42926: возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2)
- CVE-2026-40701: обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с директивой "ssl_ocsp"
- CVE-2026-42946: чтение из области за пределами буфера в модулях ngx_http_uwsgi_module и ngx_http_scgi_module, возникающее при обработке специально оформленного ответа. Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению
- CVE-2026-42934: чтение из области за пределами буфера в рабочем процессе, возникающее при обработке ответов с декодированием из кодировки UTF-8 при использовании директивы "charset_map". Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению
- CVE-2026-40460: уязвимость в реализации протокола HTTP/3, допускающая спуфинг IP-адреса для обхода авторизации или ограничений
Обновление ПО:
nginx 1.30.1
Основные исправления:
nginx обновлен до 1.30.1 (пакет bx-nginx 1.30.1), openssl до 3.5.6.
Исходники пакета:
Добавляем файл для репозитория исходных версий /etc/yum.repos.d/bitrix-source-9.repo с содержимым:
| Код |
|---|
[bitrix-source-9] name=Bitrix Packages Source for Enterprise Linux 9 - x86_64 baseurl=https://repo.bitrix24.tech/dnf/SRPMS enabled=1 gpgcheck=1 priority=1 failovermethod=priority gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9 |
Убедимся что есть пакеты dnf-utils и yum-utils:
| Код |
|---|
dnf clean all && dnf install -y dnf-utils yum-utils |
Скачиваем исходники: bx-nginx:
| Код |
|---|
yumdownloader --source bx-nginx |
Примерный ответ в консоли:
| Код |
|---|
[root@localhost ~]# yumdownloader --source bx-nginx enabling epel-source repository enabling epel-cisco-openh264-source repository enabling baseos-source repository enabling appstream-source repository enabling crb-source repository enabling extras-source repository enabling rpmfusion-free-updates-source repository enabling rpmfusion-nonfree-updates-source repository Extra Packages for Enterprise Linux 9 - x86_64 - Source 2.4 MB/s | 4.3 MB 00:01 Rocky Linux 9 - BaseOS - Source 429 kB/s | 423 kB 00:00 Rocky Linux 9 - AppStream - Source 280 kB/s | 945 kB 00:03 Rocky Linux 9 - CRB - Source 116 kB/s | 139 kB 00:01 Rocky Linux 9 - Extras Source 10 kB/s | 14 kB 00:01 RPM Fusion for EL 9 - Free - Updates Source 2.1 kB/s | 21 kB 00:10 RPM Fusion for EL 9 - Nonfree - Updates Source 16 kB/s | 14 kB 00:00 bx-nginx-1.30.1-0.el9.src.rpm 7.8 MB/s | 118 MB 00:15 [root@localhost ~]# |
Всем удачи. Спасибо за обратную связь!
