Почему пора обновить коробочный Битрикс24: CentOS 7, окружение и продукт

Опубликовано: 22.06.2026 · Обновлено: 22.06.2026 · 7 мин чтения

Если ваш коробочный Битрикс24 работает на CentOS 7 или давно не обновлялся — прямо сейчас он уязвим для реальных атак, под которые уже есть готовые эксплойты. Рассказываем, что конкретно угрожает вашему серверу и что с этим делать.

CentOS 7 — сервер, который уже не защитить патчами

30 июня 2024 года CentOS 7 достигла End of Life. Обновлений безопасности больше нет — ни для операционной системы, ни для системных библиотек. Системный OpenSSL на CentOS 7 застрял на версии 1.0.2, которая тоже давно снята с поддержки. Уязвимости на уровне TLS и шифрования штатно закрыть невозможно.

По нашему опыту аудита, реальное состояние сервера на CentOS 7 выглядит так:

Компонент	Типичная версия	Актуальная рекомендованная
ОС	CentOS Linux 7	CentOS Stream 9
nginx	1.20.x	1.26.3 / 1.30.1+
Apache	2.4.6	2.4.62
PHP	8.1.x	8.2.x
СУБД	Percona 5.7.x	Percona 8.0.x
bitrix-env	7.x	9.x

Реальные уязвимости nginx, которые уже эксплуатируются

Патчи для трёх свежих CVE вышли только в новых версиях nginx. На CentOS 7 их штатно не поставить: репозитории заморожены, зависимости тянут старый OpenSSL, бэкпортов безопасности нет.

CVE-2026-42945 («NGINX Rift», май 2026) — переполнение буфера в куче в модуле ngx_http_rewrite_module. Уязвимость пролежала в коде около 18 лет и затрагивает все версии nginx с 0.6.27 по 1.30.0. Позволяет неаутентифицированному злоумышленнику уронить рабочий процесс и потенциально выполнить произвольный код (RCE). Уже эксплуатируется в реальных атаках. Исправлено только в nginx 1.30.1 и 1.31.0.
CVE-2025-23419 — при определённой конфигурации позволяет через возобновление TLS-сессии обойти проверку клиентских сертификатов. Затронуты версии nginx 1.11.4–1.27.3 (исправлено в 1.26.3 и 1.27.4).
CVE-2024-7347 — переполнение в модуле ngx_http_mp4_module (раздача видео). Версии 1.5.13–1.27.0 (исправлено в 1.26.2 и 1.27.1).

Ключевой вывод: проблему не закрыть патчем. Единственное реальное решение — переезд на актуальную поддерживаемую ОС — мы строго рекомендуем CentOS Stream 9, то есть фактически новый сервер с переносом данных и окружения. Из нашего опыта: переезд занимает около 1–2 рабочих дней и включает перенос базы данных, файлов, конфигурации и гарантийную поддержку после запуска. Это надо делать планово и заранее, а не после взлома.

На схеме показан путь от устаревшего сервера к защищённой инфраструктуре: старый сервер на CentOS 7 с устаревшим окружением мигрирует через резервную копию на новый сервер с актуальной ОС, обновлённым bitrix-env и настроенной безопасностью Битрикс24.

flowchart LR
    OLD["Старый сервер\nCentOS 7 / nginx 1.20\nbitrix-env 7.x"]
    BACKUP["Резервная копия\n(БД + файлы)"]
    NEW["Новый сервер\nCentOS Stream 9\nnginx 1.30+\nbitrix-env 9.x"]
    B24["Битрикс24\nобновлённый продукт\nнастройки безопасности"]

    OLD --> BACKUP --> NEW --> B24

Устаревшее окружение сервера: тихая угроза

Даже если у вас не CentOS 7, но окружение не обновлялось больше месяца — сервер открыт для уже известных уязвимостей, под которые существуют готовые автоматические эксплойты.

Боты непрерывно сканируют интернет в поисках непропатченных версий nginx, PHP и Apache. Это не теория: по результатам наших аудитов безопасности типичная картина включает:

устаревшее веб-окружение (bitrix-env 7.x вместо 9.x);
включённый вывод ошибок PHP в браузере (display_errors = On) — раскрывает пути к файлам, SQL-запросы, структуру базы данных;
включённый local_infile и не отключённый query_cache в СУБД;
отсутствие HSTS-заголовка и корректного редиректа HTTP → HTTPS;
не ограниченный по IP доступ к административной панели.

Решение: регулярное плановое обновление окружения (не реже раза в месяц) и мониторинг актуальности версий. Параллельно — настройка базовых мер: ограничение доступа к админке по IP, включение веб-антивируса Битрикс24, настройка HSTS. Подробнее о том, как выстроить резервное копирование Битрикс24 как часть регламента безопасности, — в отдельном материале.

Устаревший продукт Битрикс24: уязвимости и потери функционала

Пропущенные обновления самого продукта — это два риска одновременно:

Незакрытые уязвимости в коде Битрикс24. Вендор регулярно выпускает патчи безопасности, и каждая пропущенная версия — это потенциально открытая дверь.
Упущенный новый функционал. AI-инструменты, обновлённые модули CRM, улучшенная телефония — всё это недоступно на старых версиях.

Важно: обновлять продукт нужно только с предварительной резервной копией. Крупное накопившееся обновление способно сломать ядро портала — особенно если в системе есть кастомные доработки. Из нашей практики: при наличии модифицированных файлов (а это не редкость — по результатам аудита безопасности мы обнаруживаем изменения в модулях CRM, IM, задачах) обновление безопаснее сначала проверить на тестовой копии.

Как это делаем мы: - создаём полную резервную копию портала; - разворачиваем тестовую копию на отдельном сервере; - применяем обновления и проверяем критический функционал (CRM, бизнес-процессы, интеграции); - только после успешного тестирования обновляем боевой портал.

Если в процессе выявляется несовместимость кастомного кода с новой версией — это отдельная задача с отдельной оценкой. Заранее рекомендуем пройти аудит Битрикс24, чтобы понимать объём доработок до старта обновления.

Как проходит переезд с CentOS 7 на CentOS Stream 9

Переезд выполняется по отработанному регламенту работ. Типовой срок — около 2 рабочих дней. От вас нужен подготовленный новый сервер и доступ по SSH (root).

Подготовка. Делаем полную резервную копию текущего портала. При необходимости предварительно обновляем платформу Битрикс24 и PHP на старом сервере, чтобы данные корректно встали на новом.
Новый сервер и окружение. На новом сервере с CentOS Stream 9 разворачиваем актуальное веб-окружение (bitrix-env 9.x). Переносим данные штатным инструментом «Резервное копирование и восстановление»: база данных, текущая конфигурация сайта и все файлы (вложения в почте, чатах, CRM).
Донастройка и запуск. Настраиваем отправку почты (SMTP), Push&Pull, SSL Let's Encrypt, редирект HTTP → HTTPS и регулярное резервное копирование. Проводим проверку системы на предмет наличия ошибок и исправляем найденные ошибки, при необходимости переподключаем старые интеграции.
Тестирование. Делаем резервную копию нового портала и передаём его вам на проверку — интеграции и ключевой функционал. Исправляем замечания, если они появятся.
Запуск. Открываем портал пользователям на новом сервере; старый сервер выключаем.
Гарантийная поддержка. В течение недели бесплатно устраняем ошибки, которые возникли из-за переноса и не проявлялись на старом портале.

Результат: старый сервер отключён, а на новом — CentOS Stream 9 с обновлённым окружением и Битрикс24 в рабочем состоянии: тот же домен, те же пользователи, тот же функционал.

Если в вашем портале есть доработки — это отдельная история. При наличии кастомных модификаций (изменения ядра, собственные модули, нестандартные интеграции) переезд и обновление обсуждаются отдельно и только после предварительного аудита. Без аудита есть реальный риск получить после переезда и обновления неработоспособный продукт: накопленные обновления и новое окружение вступают в конфликт с модифицированным кодом. На аудите мы тестом «Монитор качества» находим изменённые файлы ядра (в нашей практике это десятки файлов в модулях CRM, мессенджере и других) и оцениваем объём работ ещё до старта.

Пора обновляться, если…

Проверьте себя по этому списку:

✅ Ваш сервер работает на CentOS 7
✅ Окружение (nginx, PHP, СУБД, bitrix-env) не обновлялось больше месяца
✅ Продукт Битрикс24 не обновлялся несколько месяцев или лет
✅ Вы не делаете регулярные резервные копии (или не проверяете, что они работают)
✅ Вы не знаете текущие версии nginx, PHP и операционной системы на вашем сервере

Если хотя бы один пункт — ваш, откладывать уже нельзя.

Что делает АС Проект

АС Проект — Платиновый партнёр Битрикс24. Мы выполняем:

Бесплатный аудит безопасности коробочной версии: проверяем ОС, окружение, настройки PHP и СУБД, состояние продукта.
Переезд с CentOS 7 на актуальную ОС — строго на CentOS Stream 9 — под ключ, с переносом данных, настройкой окружения и гарантийной поддержкой после запуска.
Обновление продукта Битрикс24 с предварительным тестированием на копии, настройкой безопасности и проверкой критического функционала.

Если вам предстоит не только переезд сервера, но и более глубокая работа с порталом — изучите нашу техническую поддержку Битрикс24: пакеты часов и форматы работы.

Частые вопросы

Можно ли просто поставить патч на CentOS 7 и остаться на старом сервере?

Нет. После 30 июня 2024 года репозитории CentOS 7 заморожены — официальных патчей безопасности больше не выходит. Единственное надёжное решение — переезд на поддерживаемую ОС: CentOS Stream 9.

Как быстро происходит переезд с CentOS 7 на новый сервер?

По нашему опыту, типовой переезд занимает около 1–2 рабочих дней: перенос базы данных и файлов, настройка окружения на новом сервере, тестирование и переключение домена. После запуска предоставляется гарантийная поддержка.

Обязательно ли тестировать обновление продукта Битрикс24 на копии?

Настоятельно рекомендуем — особенно если с момента последнего обновления прошло несколько месяцев или в системе есть кастомные доработки. Крупное накопленное обновление может привести к несовместимости кастомного кода, которую безопаснее выявить на тестовой копии, а не на боевом портале.

На основе практики

Статья подготовлена на основе 8 внутренних документов из практики АС Проект — планов работ, ТЗ, опросных листов и кейсов внедрения Битрикс24.

Нужна помощь с внедрением Битрикс24?

АС Проект — платиновый партнёр Битрикс24. 7+ лет опыта, 1300+ проектов.
Звоните +7 (495) 414-48-49 или переходите на основной сайт.

Перейти на acp-24.ru →