В Apache httpd 2.4.67 устранена уязвимость в HTTP/2, не исключающая удалённое выполнение кода

05.05.2026 08:47 (MSK)

Представлен релиз HTTP-сервера Apache 2.4.67, в котором устранено 11 уязвимостей и внесено несколько исправлений. Наиболее опасная уязвимость (CVE-2026-23918) вызвана двойным освобождением памяти в модуле mod_http2 и потенциально может привести к удалённому выполнению кода на сервере через манипуляции с протоколом HTTP/2. Уязвимость проявляется только в выпуске 2.4.66. Проблеме присвоен уровень опасности 8.8 из 10.

Ещё одна уязвимость (CVE-2026-24072) с уровнем опасности 8.8 присутствует в модуле mod_rewrite и позволяет локальным пользователям хостинга, имеющим право создавать файлы ".htaccess", прочитать содержимое любых файлов в системе с привилегиями пользователя под которым запущен процесс httpd.

Менее опасные уязвимости:

CVE-2026-28780 - переполнение буфера в mod_proxy_ajp, которое может быть эксплуатировано при подключении прокси к вредоносному AJP-серверу. Через передачу специально оформленных AJP-сообщений (Apache JServ Protocol) можно добиться записи 4 байт за границу выделенного буфера.
CVE-2026-33523 - возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд (HTTP response splitting), позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
CVE-2026-33006 - атака по сторонним каналам (анализ задержек) на mod_auth_digest, позволяющая обойти Digest-аутентификацию.
CVE-2026-29168 - отсутствие должного ограничения выделяемых ресурсов при обработке специально оформленного ответа OCSP в mod_md.
CVE-2026-29169 - разыменование нулевого указателя в модуле mod_dav_lock, которое можно использовать для вызова аварийного завершения серверного процесса.
CVE-2026-33007 - разыменование нулевого указателя в модуле mod_authn_socache, которое можно использовать для вызова аварийного завершения дочернего процесса в конфигурациях с кэширующим прокси.
CVE-2026-33857 - чтение одного байта из памяти вне выделенного буфера в модуле mod_proxy_ajp.
CVE-2026-34032 - чтение данных из памяти вне выделенного буфера из-за отсутствия проверки на завершающий строку нулевой символ в mod_proxy_ajp.
CVE-2026-34059 - утечка содержимого памяти в mod_proxy_ajp.

Кроме того, в новом выпуске устранены не связанные с безопасностью ошибки в mod_http2 и mod_md, а также добавлены новые MIME-типы в файл conf/mime.types: vnd.sqlite3, HEIC, HEIF.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65361-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (42)

1.1, Аноним (1), 09:37, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
между тем, в RHEL и клонах до сих пор не устранена дыра copy fail

2.2, нах. (?), 10:01, 05/05/2026 [^] [^^] [^^^] [ответить]	–6 +/–
Как будто она в де6илли ноидах устранена Вон от бабуинты надысь такое прилетело... большой текст свёрнут, показать

3.3, Аноним (3), 10:49, 05/05/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Бла-бла-бла В убунте оно еще 30 апреля пофикшено - https://lists.ubuntu.com/archives/kernel-team/2026-April/167446.html

4.11, Анонимно (ok), 12:17, 05/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
В Ubuntu не пофикшено до сих пор https://ubuntu.com/security/CVE-2026-31431

5.12, Аноним (3), 12:22, 05/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
А почему у меня пофикшено тогда?

6.24, Аноним (24), 16:43, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Потому что сокет AF_ALG запрещен?

7.41, Аноним (41), 21:50, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
потому что только Android норм linux дистр где все настроено и на своих местах, и он сожрет всех остальных даже на десктопе

8.42, Аноним (42), 00:19, 06/05/2026 Скрыто ботом-модератором [к модератору]	+1 +/–

6.25, Аноним (24), 16:44, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Через параметр ядра?

6.34, нах. (?), 18:52, 05/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
> А почему у меня пофикшено тогда? потому что ты звиздун

7.44, Аноним (3), 02:03, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Та не, я просто сам затащил те коммиты из ссылки выше и пересобрал ядро.

8.49, нах. (?), 07:40, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
а кому нужно знать о твоих нитакусичьих успехах если мы говорили о том что в ub... текст свёрнут, показать

4.33, нах. (?), 18:51, 05/05/2026 [^] [^^] [^^^] [ответить]

+1 +/–

блаблабла - это твоя ссылка на мэйллистик для разработчиков непоймичего.
В котором написано (зря я потратил клик) что васян выложил кудатовотутда архив с незнамочем с самой наираспоследней версией ведра (т.е. своей работы проделал ровно ноль). То есть ровно вот шлепанье языком.

А то что я цитировал - это официальный канал обновлений. И еще есть вот такое с той же методой "исправления": https://ubuntu.com/security/CVE-2026-31431
Ждити пока индус протрезвеет и соберет нормальные пакеты.

(или таки стыздит у редхата, во что я больше верю)

3.4, Аноним (4), 10:50, 05/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Похоже слишком много слежки завязано на эту уязвимость. Нужно сначала добавить новую уязвимость, чтобы убрать старую, это не быстро делается. Тем более время сейчас военное. За Ираном надо следить и не только.

4.7, Аноним (7), 10:58, 05/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Естественно, в Иране 100% используют продукты редхат (через прокси) и немодифицированные ядра (бизнес такой бизнес). Но что-то подсказывает, это только местные бизнесмены такие умные.

5.10, Аноним (10), 12:16, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
цискороутеры же стояли у центpифyг.

6.26, Аноним (24), 16:45, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Данайцы с дарами приходили...

6.27, Аноним (27), 16:47, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
там сто лет как хуавей :)

3.19, Аноним (19), 14:40, 05/05/2026 [^] [^^] [^^^] [ответить]

+1 +/–

в debian 12 уязвимость была исправлена до того как объявили, в debian 13 исправили в день публикации, в debian 11 исправление было 4-го мая

информация на странице https://security-tracker.debian.org/tracker/CVE-2026-31431 обновлялась с запозданием

в alma linux пропатченное ядро выпустили, в rocky linux ещё нет

4.36, нах. (?), 18:56, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
кстати, донецкие пацанчики опять, получается, молодцы и умеют хотя бы в ctrlc-ctrlv а не ждут от индусов.

2.28, Аноним (24), 16:51, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Сначала надо ванильное ядро исправить. Потом своё. Потом испытать как это отразится на громадном "зоопарке". И всё это под ответственное сопровождение. Бюрократия, наверно, есть какая ни какая. kmod исправят и хватит.

3.40, нах. (?), 20:52, 05/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Сначала надо ванильное ядро исправить. Потом своё. Потом испытать как это отразится

ну да, ну да, а раз в два дня приходящие мне "USN-... introduced a regression in ..." в каждом ерундовом /bin/ls - это другоэ, понимать надо!

испытвают ане, панимаешь, просют не волноваться - как доиспытуют, сразу же.

> на громадном "зоопарке". И всё это под ответственное сопровождение. Бюрократия, наверно,

да-да, я помню ответственный факап с dkms. Когда хотя бы просто удалить неработающий "обновленный" пакет, ломавший загрузку системы, две недели не могли.

Вот выложить это недоразумение получилось на раз.

Не надо выдавать за хитрый план обычное отсутствие умений и квалификации.

1.9, Аноним (10), 12:14, 05/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Может, пора задуматься о переходе на безопасное программирование?

2.13, Аноним (3), 12:34, 05/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Да, задумайся и переходи.

3.15, Аноним (10), 13:28, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Уже перешёл - не использую дыpкoватый апач.

4.22, Аноним (22), 15:36, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Что ж ты их ниже пояса-то бъешь?..

2.16, Аноним (16), 13:36, 05/05/2026 Скрыто ботом-модератором [к модератору]	+/–

2.17, Аноним (17), 14:28, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
>Может, пора задуматься о переходе на безопасное программирование? И так каждое новое поколение погромистов.

3.50, _ (??), 19:41, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Yeah - Java-rebels already become silver-head minister-s in royal cabinets ;-) and now suppress younger Rust-rebels ... ;-) Deja-Vue

2.20, Аноним (20), 15:21, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Пора переходить на Amazon. Там умные дяди без нас разберутся.

3.51, _ (??), 19:43, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Yes, you are not necessary for anything. But we don't talk about _you_ :) ;-p

2.21, Аноним (22), 15:34, 05/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Может, пора задуматься о переходе на безопасное программирование?

"Думать" и "базопасность" - это не про сишочников.

Они уже более поувека наступают на одни и те же грабли - и следующие 50 лет будут делать то же самое.

А местная аудитория будет продолжать цирк "атата, закладочка!" и "ну и чо - никого же не взломали!".

3.32, ырап (?), 18:09, 05/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
какой унылый наброс, как будто божественный не обосрался на прошлой неделе

4.39, Аноним (22), 20:24, 05/05/2026 [^] [^^] [^^^] [ответить]

–1 +/–

> какой унылый наброс, как будто божественный не обосрался на прошлой неделе

Какое уныло приплетание в стиле "а у вас негров линчуют". Я не говорил ни о каких "божественных". Я говорил о С.

Хз, против чего ты там воюешь, но раз ты уж сам тему поднял: покажи, как этот самый "божественный" (что бы это ни было) обделался хотя бы одной типичной сишочной проблемой из новости, а именно:

* Двойное освобождение памяти
* Переполнение буфера
* Разыменование нулевого указателя
* Утечка памяти

5.46, Аноним (3), 02:10, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
Дак включай unsafe в своем божественном и там покруче будет, чем какое-то двойное освобождение. А без unsafe, когда за тебя компилятор думает, любой дурак может писать... кем собственно адепты божественного и являются.

6.47, Аноним (22), 04:04, 06/05/2026 [^] [^^] [^^^] [ответить]

+/–

>> покажи, как этот самый "божественный" (что бы это ни было) обделался хотя бы одной типичной сишочной проблемой из новости
> включай unsafe в своем божественном

В общем, ты не покажешь...

> А без unsafe, когда за тебя компилятор думает, любой дурак может писать...

"Здесь мерилом работы считают усталость". Не страдал - не эксперт!

7.52, _ (??), 19:45, 06/05/2026 [^] [^^] [^^^] [ответить]

+/–

> В общем, ты не покажешь...

Easy-peasy: https://www.opennet.ru/opennews/art.shtml?num=65278

Live with it now :)

2.29, Аноним (24), 16:54, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
Начинайте. Пишите такие же универсальные решения. Будьте первопроходцем - испытайте это в своем ядре.

3.30, Аноним (10), 17:12, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
> испытайте это в своем ядре Нет, редох не взлетел почему-то.

4.35, нах. (?), 18:55, 05/05/2026 [^] [^^] [^^^] [ответить]

+/–

>> испытайте это в своем ядре
> Нет, редох не взлетел почему-то.

взлетел, "но недалеко и все больше - вниз".

3.31, Аноним (31), 17:29, 05/05/2026 [^] [^^] [^^^] [ответить]	+/–
> испытайте это в своем ядре. Зачем в своем? Лучше в ядре которое я использую. Например яро линукс))

2.43, Аноним (42), 00:21, 06/05/2026 [^] [^^] [^^^] [ответить]	+/–
На хаскель?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: