В Apache httpd 2.4.67 устранена уязвимость в HTTP/2, не исключающая удалённое выполнение кода

05.05.2026 08:47 (MSK)

Представлен релиз HTTP-сервера Apache 2.4.67, в котором устранено 11 уязвимостей и внесено несколько исправлений. Наиболее опасная уязвимость (CVE-2026-23918) вызвана двойным освобождением памяти в модуле mod_http2 и потенциально может привести к удалённому выполнению кода на сервере через манипуляции с протоколом HTTP/2. Уязвимость проявляется только в выпуске 2.4.66. Проблеме присвоен уровень опасности 8.8 из 10.

Ещё одна уязвимость (CVE-2026-24072) с уровнем опасности 8.8 присутствует в модуле mod_rewrite и позволяет локальным пользователям хостинга, имеющим право создавать файлы ".htaccess", прочитать содержимое любых файлов в системе с привилегиями пользователя под которым запущен процесс httpd.

Менее опасные уязвимости:

CVE-2026-28780 - переполнение буфера в mod_proxy_ajp, которое может быть эксплуатировано при подключении прокси к вредоносному AJP-серверу. Через передачу специально оформленных AJP-сообщений (Apache JServ Protocol) можно добиться записи 4 байт за границу выделенного буфера.
CVE-2026-33523 - возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд (HTTP response splitting), позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
CVE-2026-33006 - атака по сторонним каналам (анализ задержек) на mod_auth_digest, позволяющая обойти Digest-аутентификацию.
CVE-2026-29168 - отсутствие должного ограничения выделяемых ресурсов при обработке специально оформленного ответа OCSP в mod_md.
CVE-2026-29169 - разыменование нулевого указателя в модуле mod_dav_lock, которое можно использовать для вызова аварийного завершения серверного процесса.
CVE-2026-33007 - разыменование нулевого указателя в модуле mod_authn_socache, которое можно использовать для вызова аварийного завершения дочернего процесса в конфигурациях с кэширующим прокси.
CVE-2026-33857 - чтение одного байта из памяти вне выделенного буфера в модуле mod_proxy_ajp.
CVE-2026-34032 - чтение данных из памяти вне выделенного буфера из-за отсутствия проверки на завершающий строку нулевой символ в mod_proxy_ajp.
CVE-2026-34059 - утечка содержимого памяти в mod_proxy_ajp.

Кроме того, в новом выпуске устранены не связанные с безопасностью ошибки в mod_http2 и mod_md, а также добавлены новые MIME-типы в файл conf/mime.types: vnd.sqlite3, HEIC, HEIF.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65361-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (7)

RSS

1.1, Аноним (1), 09:37, 05/05/2026 [ответить]	+1 +/–
между тем, в RHEL и клонах до сих пор не устранена дыра copy fail

2.2, нах. (?), 10:01, 05/05/2026 [^] [^^] [^^^] [ответить]	–4 +/–
Как будто она в де6илли ноидах устранена Вон от бабуинты надысь такое прилетело... большой текст свёрнут, показать

3.3, Аноним (3), 10:49, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Бла-бла-бла В убунте оно еще 30 апреля пофикшено - https://lists.ubuntu.com/archives/kernel-team/2026-April/167446.html

3.4, Аноним (4), 10:50, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Похоже слишком много слежки завязано на эту уязвимость. Нужно сначала добавить новую уязвимость, чтобы убрать старую, это не быстро делается. Тем более время сейчас военное. За Ираном надо следить и не только.

4.7, Аноним (7), 10:58, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Естественно, в Иране 100% используют продукты редхат (через прокси) и немодифицированные ядра (бизнес такой бизнес). Но что-то подсказывает, это только местные бизнесмены такие умные.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: