Форум

[B]Обновление bx-nginx с устранением уязвимости[/B]

Коллеги, пакет bx-nginx сформирован и вышел в релиз [B]без[/B] выпуска виртуальной машины VMBitrix.

Обновлением 1.30.3 устраняем 3 уязвимости, две из которых имеют критический уровень опасности:
[LIST]
[*]CVE-2026-42530: [B]критично[/B], обращение к уже освобождённой памяти (use-after-free) в реализации протокола HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода с правами рабочего процесса при обработке специально оформленного сеанса по протоколу QUIC
[*]CVE-2026-42055: [B]критично[/B], переполнение буфера в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module, проявляющееся при проксировании специально оформленных запросов по протоколу HTTP/2 или к бэкенду gRPC. Проблеме присвоен критический уровень опасности (9.2 из 10), допускающий удалённое выполнение кода. Уязвимость проявляется в конфигурациях с настройкой "ignore_invalid_headers off;" и большим значением "large_client_header_buffers".
[*]CVE-2026-48142: чтение из области вне выделенного буфера при обработке специально оформленных запросов, приводящих к перекодированию текста в кодировке UTF-8 при помощи модуля ngx_http_charset_module. Уязвимость появляется в конфигурациях с директивой "charset_map" при наличии в блоке location директив "source_charset utf-8" и "charset другая_кодировка". Проблеме присвоен средний уровень опасности (6.3 из 10), допускающий утечку содержимого памяти рабочего процесса.
[/LIST][B][COLOR=#ff0000]Обязательно[/COLOR] обновите ваши виртуальные машины![/B]

[B]Обновление ПО:[/B]
nginx 1.30.3

[B]Основные исправления:[/B]
nginx обновлен до 1.30.3 (пакет bx-nginx 1.30.3), openssl до 3.5.7.

[B]Исходники пакета:[/B]
Добавляем файл для репозитория исходных версий [I]/etc/yum.repos.d/bitrix-source-9.repo[/I] с содержимым:

[CODE][bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9[/CODE]
Убедимся что есть пакеты dnf-utils и yum-utils:

[CODE]dnf clean all && dnf install -y dnf-utils yum-utils[/CODE]
Скачиваем исходники: bx-nginx

[CODE]yumdownloader --source bx-nginx[/CODE]
Примерный ответ в консоли:

[CODE][root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling rpmfusion-free-updates-source repository
enabling rpmfusion-nonfree-updates-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source   2.0 MB/s | 4.3 MB     00:02
RPM Fusion for EL 9 - Free - Updates Source                21 kB/s |  21 kB     00:00
RPM Fusion for EL 9 - Nonfree - Updates Source             16 kB/s |  14 kB     00:00
bx-nginx-1.30.3-0.el9.src.rpm                             5.9 MB/s | 118 MB     00:20
[root@localhost ~]#[/CODE]
Всем удачи. Спасибо за обратную связь!

[QUOTE]Артемий Зайцев написал:
Большая проблема, которая грозит переполнением места на маленьких серверах.Не работает очистка логов /var/log/secure, /var/log/messages и /var/log/cronBitrix Env 9 - все версии до 9.0.10 (9.0.10 не проверял)Боты пытаются подобрать пароли, но не могут.При этом стремительно растут логи  /var/log/secure и /var/log/messages (по 2,5 гигабайта за 6 месяцев)Ещё файл /var/log/cron - сотни мегабайт, от нашего стандартного крона раз в минутуПочему logrotate не работает для этих файлов? Он не настроен для них?[/QUOTE]

Все настроено, работает из поставки. Файлы ротируются. Проверяйте вашу машину.

Файл /etc/logrotate.d/rsyslog, содержимое:

[CODE]/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
   missingok
   sharedscripts
   postrotate
       /usr/bin/systemctl -s HUP kill rsyslog.service >/dev/null 2>&1 || true
   endscript
}[/CODE]

[QUOTE]Владимир написал:
а почему нельзя при обновлении так же указывать актуальный список зеркал?см. коммент выше...выяснили с ТП Бегет - это вообще не актуальные ссылки...[/QUOTE]

Мы используем технологию выбора зеркал от самой ОС. При обновлении и т.д. ваша ОС идет на список зеркал, по GeoIP выбирается сервер поближе к вашей локации и пытается качать пакеты оттуда. Для каждой локации это разные url.
Если не срабатывает, или выбирает медленное зеркало, поменяйте урл в файлах репозитория, смените список на конкретный сервер.
Пример: [URL=https://dev.1c-bitrix.ru/community/forums/messages/forum32/topic159152/message770458/#message770458]https://dev.1c-bitrix.ru/community/forums/messages/forum32/topic159152/message770458/#message770458[/URL]

[QUOTE]Артемий Зайцев написал:
Хочу узнать есть ли в BitrixEnv 9.0.10 сертификат Минцифры? Выяснилось, что удостоверяющие центры отзывают сертификаты платёжных систем и надо ставить сертификат Минцифры.Оно уже настроено, или надо настраивать и суетиться?[/QUOTE]

Нету. Но вы можете добавить самостоятельно все, что вам нужно.

[QUOTE]Виталий Зверев написал:
Могу предположить, что расскоментирование происходит во тут - /opt/webdir/bin/php_opcache_switcher.sh Ищите откуда запускается этот скрипт с аргументом "on" и при каких условиях.  [/QUOTE]

Этот скрипт при ребуте не вызывается.
Основная причина не перезагрузка, а обновление пакетов. Исправление в процессе, выйдет в следующей версии.

[B]Обновление bx-nginx с устранением уязвимости[/B]

Коллеги, пакет bx-nginx сформирован и вышел в релиз [B]без[/B] выпуска виртуальной машины VMBitrix.

Обновлением 1.30.2 устраняем 1 критическую уязвимость:
[LIST]
[*]CVE-2026-9256: [B]критично[/B], позволяет удалённо добиться выполнения кода с правами рабочего процесса nginx через отправку специально оформленного HTTP-запроса
[/LIST][B][COLOR=#ff0000]Обязательно[/COLOR] обновите ваши виртуальные машины![/B]

[B]Обновление ПО:[/B]
nginx 1.30.2

[B]Основные исправления:[/B]
nginx обновлен до 1.30.2 (пакет bx-nginx 1.30.2).

[B]Исходники пакета:[/B]
Добавляем файл для репозитория исходных версий [I]/etc/yum.repos.d/bitrix-source-9.repo[/I] с содержимым:

[CODE][bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9[/CODE]
Убедимся что есть пакеты dnf-utils и yum-utils:

[CODE]dnf clean all && dnf install -y dnf-utils yum-utils[/CODE]
Скачиваем исходники: bx-nginx:

[CODE]yumdownloader --source bx-nginx[/CODE]
Примерный ответ в консоли:

[CODE][root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source   2.4 MB/s | 4.3 MB     00:01
Rocky Linux 9 - BaseOS - Source                           429 kB/s | 423 kB     00:00
Rocky Linux 9 - AppStream - Source                        280 kB/s | 945 kB     00:03
Rocky Linux 9 - CRB - Source                              116 kB/s | 139 kB     00:01
Rocky Linux 9 - Extras Source                              10 kB/s |  14 kB     00:01
bx-nginx-1.30.2-0.el9.src.rpm                             4.6 MB/s | 118 MB     00:25
[root@localhost ~]#[/CODE]
Всем удачи. Спасибо за обратную связь!

[QUOTE]Виталий Гришин написал:
Виртуальная машина не поддерживает разные версии php для сайтов? Например, 8.1 и 8.4?[/QUOTE]

Нет. Одна версия PHP для всего.

[QUOTE]Валерий Чебан написал:
Подскажите, пожалуйста, можно ли полностью отключить роль pgsql_master_1 если она не используется? Либо по концепции теперь она всегда должна присутствовать рядом с mysql_master_1?[/QUOTE]

Можно сервис pgsql остановить и убрать автозапуск, если мешает. Вышло в 9.0.10.
Роль полностью отключить (или удалить) никак не выйдет.

[B]Обновление bx-nginx с устранением уязвимостей[/B]

Коллеги, пакет bx-nginx сформирован и вышел в релиз [B]без[/B] выпуска виртуальной машины VMBitrix.

В этой версии переходим на новую стабильную ветку nginx 1.30.x.
Обновлением 1.30.1 устраняем 6 уязвимостей, одна из которых имеет критический уровень опасности:
[LIST]
[*]CVE-2026-42945: [B]критично[/B], вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI
[*]CVE-2026-42926: возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2)
[*]CVE-2026-40701: обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с директивой "ssl_ocsp"
[*]CVE-2026-42946: чтение из области за пределами буфера в модулях ngx_http_uwsgi_module и ngx_http_scgi_module, возникающее при обработке специально оформленного ответа. Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению
[*]CVE-2026-42934: чтение из области за пределами буфера в рабочем процессе, возникающее при обработке ответов с декодированием из кодировки UTF-8 при использовании директивы "charset_map". Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению
[*]CVE-2026-40460: уязвимость в реализации протокола HTTP/3, допускающая спуфинг IP-адреса для обхода авторизации или ограничений
[/LIST][B][COLOR=#ff0000]Обязательно[/COLOR] обновите ваши виртуальные машины![/B]

[B]Обновление ПО:[/B]
nginx 1.30.1

[B]Основные исправления:[/B]
nginx обновлен до 1.30.1 (пакет bx-nginx 1.30.1), openssl до 3.5.6.

[B]Исходники пакета:[/B]
Добавляем файл для репозитория исходных версий [I]/etc/yum.repos.d/bitrix-source-9.repo[/I] с содержимым:

[CODE][bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9[/CODE]
Убедимся что есть пакеты dnf-utils и yum-utils:

[CODE]dnf clean all && dnf install -y dnf-utils yum-utils[/CODE]
Скачиваем исходники: bx-nginx:

[CODE]yumdownloader --source bx-nginx[/CODE]
Примерный ответ в консоли:

[CODE][root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
enabling rpmfusion-free-updates-source repository
enabling rpmfusion-nonfree-updates-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source   2.4 MB/s | 4.3 MB     00:01
Rocky Linux 9 - BaseOS - Source                           429 kB/s | 423 kB     00:00
Rocky Linux 9 - AppStream - Source                        280 kB/s | 945 kB     00:03
Rocky Linux 9 - CRB - Source                              116 kB/s | 139 kB     00:01
Rocky Linux 9 - Extras Source                              10 kB/s |  14 kB     00:01
RPM Fusion for EL 9 - Free - Updates Source               2.1 kB/s |  21 kB     00:10
RPM Fusion for EL 9 - Nonfree - Updates Source             16 kB/s |  14 kB     00:00
bx-nginx-1.30.1-0.el9.src.rpm                             7.8 MB/s | 118 MB     00:15
[root@localhost ~]#[/CODE]
Всем удачи. Спасибо за обратную связь!

Добрый вечер)

[QUOTE] написал:
Warning: Deprecated Hardware is detected: x86_64-v2[/QUOTE]

Все ОС 9-ой серии такое выдают, архитектура x86_64 второй версии v2 объявлена окончательно устаревшей. Вас предупреждают что пора обновиться.
С 10-ой серии ОС на таком процессоре вы ничего не запустите, RHEL Oracle Roсky Alma требуют x86_64-v3 минимум.

Да и i7 6500U в 2026 старый и мало на что способный - 2-ядерный мобильный процессор 6-го поколения (Skylake) с низким энергопотреблением (15 Вт), выпущенный в 2015 году.

[QUOTE] написал:
Warning: Spectre v2 mitigation leaves CPU vulnerable to RETBleed attacks, data leaks possible![/QUOTE]

Это как следствие устаревшего cpu.

[QUOTE] написал:
Warning: Unmaintained driver is detected: e1000[/QUOTE]

Драйвер сетевой карты от VirtaulBox не нравится ОС ) С этим вопросом в поддержу VirtaulBox.
Это предупреждение не критично, можно игнорировать.

[QUOTE] написал:
Или пора уже думать о покупке нового железа?[/QUOTE]

Пора)

[QUOTE] написал:
Вообще в целом заметил, что развернутый из резервной копии проект на VMBitrix тормозит, что на 9.0-6 тормозит, что на 9.0.0 тормозит. Причину выясняю.Думал что на VMBitrix тут летать всё локально будет, но нет...[/QUOTE]

Остальной конфиг не знаю, но процессор у вас явно слабый, кол-во ядер и частота работы. Вся причина в этом, менять железо.