Форум

[B]Обновление bx-nginx с устранением уязвимости[/B]

Коллеги, пакет bx-nginx сформирован и вышел в релиз [B]без[/B] выпуска виртуальной машины VMBitrix.

Обновлением 1.30.2 устраняем 1 критическую уязвимость:
[LIST]
[*]CVE-2026-9256: [B]критично[/B], позволяет удалённо добиться выполнения кода с правами рабочего процесса nginx через отправку специально оформленного HTTP-запроса
[/LIST][B][COLOR=#ff0000]Обязательно[/COLOR] обновите ваши виртуальные машины![/B]

[B]Обновление ПО:[/B]
nginx 1.30.2

[B]Основные исправления:[/B]
nginx обновлен до 1.30.2 (пакет bx-nginx 1.30.2).

[B]Исходники пакета:[/B]
Добавляем файл для репозитория исходных версий [I]/etc/yum.repos.d/bitrix-source-9.repo[/I] с содержимым:

[CODE][bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9[/CODE]
Убедимся что есть пакеты dnf-utils и yum-utils:

[CODE]dnf clean all && dnf install -y dnf-utils yum-utils[/CODE]
Скачиваем исходники: bx-nginx:

[CODE]yumdownloader --source bx-nginx[/CODE]
Примерный ответ в консоли:

[CODE][root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source   2.4 MB/s | 4.3 MB     00:01
Rocky Linux 9 - BaseOS - Source                           429 kB/s | 423 kB     00:00
Rocky Linux 9 - AppStream - Source                        280 kB/s | 945 kB     00:03
Rocky Linux 9 - CRB - Source                              116 kB/s | 139 kB     00:01
Rocky Linux 9 - Extras Source                              10 kB/s |  14 kB     00:01
bx-nginx-1.30.2-0.el9.src.rpm                             4.6 MB/s | 118 MB     00:25
[root@localhost ~]#[/CODE]
Всем удачи. Спасибо за обратную связь!

[QUOTE]Виталий Гришин написал:
Виртуальная машина не поддерживает разные версии php для сайтов? Например, 8.1 и 8.4?[/QUOTE]

Нет. Одна версия PHP для всего.

[QUOTE]Валерий Чебан написал:
Подскажите, пожалуйста, можно ли полностью отключить роль pgsql_master_1 если она не используется? Либо по концепции теперь она всегда должна присутствовать рядом с mysql_master_1?[/QUOTE]

Можно сервис pgsql остановить и убрать автозапуск, если мешает. Вышло в 9.0.10.
Роль полностью отключить (или удалить) никак не выйдет.

[B]Обновление bx-nginx с устранением уязвимостей[/B]

Коллеги, пакет bx-nginx сформирован и вышел в релиз [B]без[/B] выпуска виртуальной машины VMBitrix.

В этой версии переходим на новую стабильную ветку nginx 1.30.x.
Обновлением 1.30.1 устраняем 6 уязвимостей, одна из которых имеет критический уровень опасности:
[LIST]
[*]CVE-2026-42945: [B]критично[/B], вызвана переполнением буфера в модуле ngx_http_rewrite_module, которое может быть эксплуатировано для выполнения кода с правами рабочего процесса nginx через отправку HTTP-запроса со специально оформленным URI
[*]CVE-2026-42926: возможность подстановки данных атакующего в проксируемый запрос при использовании в настройках директивы "proxy_set_body" и обращении к бэкенду через HTTP/2 (proxy_http_version=2)
[*]CVE-2026-40701: обращение к памяти после её освобождения (use-after-free) в модуле ngx_http_ssl_module, возникающее при обработке ответов от DNS-сервера в конфигурациях с директивой "ssl_ocsp"
[*]CVE-2026-42946: чтение из области за пределами буфера в модулях ngx_http_uwsgi_module и ngx_http_scgi_module, возникающее при обработке специально оформленного ответа. Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению
[*]CVE-2026-42934: чтение из области за пределами буфера в рабочем процессе, возникающее при обработке ответов с декодированием из кодировки UTF-8 при использовании директивы "charset_map". Проблема может привести к утечке содержимого памяти рабочего процесса или его аварийному завершению
[*]CVE-2026-40460: уязвимость в реализации протокола HTTP/3, допускающая спуфинг IP-адреса для обхода авторизации или ограничений
[/LIST][B][COLOR=#ff0000]Обязательно[/COLOR] обновите ваши виртуальные машины![/B]

[B]Обновление ПО:[/B]
nginx 1.30.1

[B]Основные исправления:[/B]
nginx обновлен до 1.30.1 (пакет bx-nginx 1.30.1), openssl до 3.5.6.

[B]Исходники пакета:[/B]
Добавляем файл для репозитория исходных версий [I]/etc/yum.repos.d/bitrix-source-9.repo[/I] с содержимым:

[CODE][bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9[/CODE]
Убедимся что есть пакеты dnf-utils и yum-utils:

[CODE]dnf clean all && dnf install -y dnf-utils yum-utils[/CODE]
Скачиваем исходники: bx-nginx:

[CODE]yumdownloader --source bx-nginx[/CODE]
Примерный ответ в консоли:

[CODE][root@localhost ~]# yumdownloader --source bx-nginx
enabling epel-source repository
enabling epel-cisco-openh264-source repository
enabling baseos-source repository
enabling appstream-source repository
enabling crb-source repository
enabling extras-source repository
enabling rpmfusion-free-updates-source repository
enabling rpmfusion-nonfree-updates-source repository
Extra Packages for Enterprise Linux 9 - x86_64 - Source   2.4 MB/s | 4.3 MB     00:01
Rocky Linux 9 - BaseOS - Source                           429 kB/s | 423 kB     00:00
Rocky Linux 9 - AppStream - Source                        280 kB/s | 945 kB     00:03
Rocky Linux 9 - CRB - Source                              116 kB/s | 139 kB     00:01
Rocky Linux 9 - Extras Source                              10 kB/s |  14 kB     00:01
RPM Fusion for EL 9 - Free - Updates Source               2.1 kB/s |  21 kB     00:10
RPM Fusion for EL 9 - Nonfree - Updates Source             16 kB/s |  14 kB     00:00
bx-nginx-1.30.1-0.el9.src.rpm                             7.8 MB/s | 118 MB     00:15
[root@localhost ~]#[/CODE]
Всем удачи. Спасибо за обратную связь!

Добрый вечер)

[QUOTE] написал:
Warning: Deprecated Hardware is detected: x86_64-v2[/QUOTE]

Все ОС 9-ой серии такое выдают, архитектура x86_64 второй версии v2 объявлена окончательно устаревшей. Вас предупреждают что пора обновиться.
С 10-ой серии ОС на таком процессоре вы ничего не запустите, RHEL Oracle Roсky Alma требуют x86_64-v3 минимум.

Да и i7 6500U в 2026 старый и мало на что способный - 2-ядерный мобильный процессор 6-го поколения (Skylake) с низким энергопотреблением (15 Вт), выпущенный в 2015 году.

[QUOTE] написал:
Warning: Spectre v2 mitigation leaves CPU vulnerable to RETBleed attacks, data leaks possible![/QUOTE]

Это как следствие устаревшего cpu.

[QUOTE] написал:
Warning: Unmaintained driver is detected: e1000[/QUOTE]

Драйвер сетевой карты от VirtaulBox не нравится ОС ) С этим вопросом в поддержу VirtaulBox.
Это предупреждение не критично, можно игнорировать.

[QUOTE] написал:
Или пора уже думать о покупке нового железа?[/QUOTE]

Пора)

[QUOTE] написал:
Вообще в целом заметил, что развернутый из резервной копии проект на VMBitrix тормозит, что на 9.0-6 тормозит, что на 9.0.0 тормозит. Причину выясняю.Думал что на VMBitrix тут летать всё локально будет, но нет...[/QUOTE]

Остальной конфиг не знаю, но процессор у вас явно слабый, кол-во ядер и частота работы. Вся причина в этом, менять железо.

[QUOTE] написал:
Всех приветствую! Версия 9.0.9. PHP 8.5.4. Все обновления установлены. Вот такая штука частенько в меню Confugure pool sites:[/QUOTE]

Подскажите какой сценарий, как такое получить?

В 9.0.9 (где вышел апгрейд до 8.5) делали фикс, при повышении версии PHP до 8.5 opache через ini файл отключался (так как он теперь часть PHP), при понижении с 8.5 вниз включался обратно.
Сейчас на 9.0.10 глянул, не вижу такой проблемы. Было 8.2, стало 8.5.4. opcache в ini выключен, ошибки в меню нет.

Коллеги, виртуальная машина [B]VMBitrix 9.0.10[/B] вышла в релиз. В этой версии исправление ошибок.

rpm пакет обновлен, пересобран, доступен для:
- CentOS Stream 9
- Rocky Linux 9.x
- Alma Linux 9.x
- Oracle Linux 9.x

sh-скрипт (bitrix-env-9.sh) для установки машины обновлен, поддерживает все 4 ОС. Способ запуска прежний:
[CODE]wget https://repo.bitrix24.tech/dnf/bitrix-env-9.sh && chmod +x bitrix-env-9.sh && ./bitrix-env-9.sh[/CODE]
[B]Обновление ПО:[/B]
nginx 1.28.3

[B]Основные исправления:[/B]
nginx обновлен до 1.28.3 (пакет bx-nginx 1.28.3), openssl до 3.5.5.
В конфигурации nginx значение параметра keepalive_requests возвращено в значение по умолчанию.
В настройках ssh по умолчанию отключена аутентификация с помощью GSSAPI и Kerberos.
Реализована возможность использовать виртуальную машину при условии, что сервис PostgreSQL может быть выключен и не запущен.

[B]Образы:[/B]
В этой версии выпускаться не будут. Образы обновим в следующей версии.

[B]Исходники пакетов:[/B]
Добавляем файл для репозитория исходных версий [I]/etc/yum.repos.d/bitrix-source-9.repo[/I] с содержимым:

[CODE][bitrix-source-9]
name=Bitrix Packages Source for Enterprise Linux 9 - x86_64
baseurl=https://repo.bitrix24.tech/dnf/SRPMS
enabled=1
gpgcheck=1
priority=1
failovermethod=priority
gpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9
[/CODE]
Убедимся что есть пакеты dnf-utils и yum-utils:

[CODE]dnf clean all && dnf install -y dnf-utils yum-utils[/CODE]
Скачиваем все исходники: bitrix-env, bx-ansible-core, bx-nginx, bx-push-server, bx-catdoc, bx-sphinx, bx-mod_auth_ntlm_winbind

[CODE]yumdownloader --source bitrix-env bx-ansible-core bx-nginx bx-push-server \
bx-catdoc bx-sphinx bx-mod_auth_ntlm_winbind[/CODE]
Примерный ответ в консоли:

[CODE][root@localhost ~]# yumdownloader --source bitrix-env bx-ansible-core bx-nginx bx-push-server \
bx-catdoc bx-sphinx bx-mod_auth_ntlm_winbind
enabling baseos-source repository
enabling appstream-source repository
enabling extras-source repository
Rocky Linux 9 - BaseOS - Source                                212 kB/s | 333 kB     00:01
Rocky Linux 9 - AppStream - Source                             469 kB/s | 918 kB     00:01
Rocky Linux 9 - Extras Source                                  7.9 kB/s |  14 kB     00:01
(1/7): bx-push-server-3.1.0-0.el9.src.rpm                      172 kB/s | 109 kB     00:00
(2/7): bx-sphinx-2.2.11-0.el9.src.rpm                          2.9 MB/s | 2.9 MB     00:00
(3/7): bitrix-env-9.0-10.el9.src.rpm                           4.7 MB/s | 7.0 MB     00:01
(4/7): bx-catdoc-0.95-0.el9.src.rpm                            367 kB/s | 221 kB     00:00
(5/7): bx-ansible-core-2.14.2-4.el9.src.rpm                    9.4 MB/s |  12 MB     00:01
(6/7): bx-mod_auth_ntlm_winbind-0.0.0-0.el9.src.rpm             53 kB/s |  25 kB     00:00
(7/7): bx-nginx-1.28.3-0.el9.src.rpm                            11 MB/s | 118 MB     00:10
[root@localhost ~]#[/CODE]
Всем удачи. Спасибо за обратную связь!

[URL=https://dev.1c-bitrix.ru/community/forums/messages/forum32/topic159152/message769104/#message769104]Сообщение[/URL] обновлено, добавлены AMI образы для amazon для Alma Linux 9, CentOS Stream 9, Rocky Linux 9.

[URL=https://dev.1c-bitrix.ru/community/forums/messages/forum32/topic159152/message769104/#message769104]Сообщение[/URL] обновлено, добавлены ссылки для скачивания образов 9.0.9 для Alma Linux 9, CentOS Stream 9, Oracle Linux 9, Rocky Linux 9.

[QUOTE]Рэйс-Коммуникейшн написал:
bitrix-env-9.sh -I для использования iptables теперь недоступно?[/QUOTE]

Да. iptables нет с 9.0.0.