The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей

05.12.2025 13:32

Представлен релиз HTTP-сервера Apache 2.4.66, в котором устранено 5 уязвимостей и внесено несколько десятков изменений.

Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):

  • CVE-2025-66200 - организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой "RequestHeader" в файле .htaccess (если разрешено её использование .htaccess).
  • CVE-2025-59775 - SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками "AllowEncodedSlashes On" и "MergeSlashes Off".
  • CVE-2025-65082 - переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI).
  • CVE-2025-58098 - передача экранированной строки запроса в SSI (Server Side Includes) директиву "<!--#exec cmd=...-->" в конфигурациях с mod_cgid вместо mod_cgi.
  • CVE-2025-55753 - отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

Среди не связанных с безопасностью улучшений:

  • Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6:
    • Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива "MDRenewViaARI on|off".
    • Реализована директива "MDInitialDelay" для выставления задержки проверки сертификата после перезапуска сервера.
    • До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки).
    • Прекращена поддержка VPN-сети Tailscale.
    • Устранены ошибки и утечка памяти.
  • Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива "H2MaxStreamErrors" для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто.
  • В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache.
  • В mod_proxy_http2 реализована директива "ProxyErrorOverride" для переопределения кодов ошибок.
  • В mpm_common добавлена директива "ListenTCPDeferAccept", через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета.
  • В mod_ssl добавлена директива "SSLVHostSNIPolicy" для настройки правил совместимости для виртуальных хостов.


  1. Главная ссылка к новости (https://www.mail-archive.com/a...)
  2. OpenNews: Фонд Apache сменил логотип и начал использование акронима ASF
  3. OpenNews: В http-сервере Apache 2.4.65 устранена проблема, ломающая работу mod_rewrite
  4. OpenNews: Релиз http-сервера Apache 2.4.64 с устранением 8 уязвимостей
  5. OpenNews: Для systemd развивается возможность загрузки системных образов по HTTP
  6. OpenNews: Уязвимость в реализациях протокола HTTP/2, упрощающая проведение DoS-атак
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64380-apache
Ключевые слова: apache, http
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:02, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >релиз HTTP-сервера Apache 2.4.66

    https://www.netcraft.com/blog/november-2025-web-server-survey

     
     
  • 2.10, Анонимно (ok), 15:22, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А что стоит за cloudflare видно?
     
     
  • 3.11, Аноним (1), 15:34, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    https://opennet.ru/63738-pingora
     
     
  • 4.13, Аноним (13), 16:24, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Это из-за нее Инет упал во всей Солнечной системе на несколько земных часов?
     
     
  • 5.14, Аноним (1), 16:26, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Нет https://opennet.ru/64282-cloudflare
     

  • 1.12, Аноним (12), 16:21, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Apache рулит, намного лучше нгинкса с уязвимостями, а апач - солидная корпорация, а значит и уязвимостей там гораааздо меньше. АПАЧ! УРА!
     
     
  • 2.28, Аноним10084 и 1008465039 (?), 19:13, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Солидная корпорация? Да это же просто некоммерческий фонд, куда скидывают на поддержку всякое
     

  • 1.15, Аноним (15), 17:15, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –4 +/
    офигеть. зачем вы лохматите труп?
     
     
  • 2.16, Аноним (13), 17:30, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Вообще-то после полного рефакторинга event-loop'а он ничуть не хуже nginx'а
     
     
  • 3.17, Аноним (12), 17:41, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Тут пхпшники говорили что JS плохой язычок, так вот, event-loop в нгинкс и в Апач добавлен по заветам html5 эвент лупа и нодовского libUv, а значит эти серверочки пошли на поводу JS. Это говорит о том, что асинхронность рулит!
     
     
  • 4.18, Аноним (13), 17:44, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Дак libuv это чисто-сишная либо для асинхронного ивент-лупа, да. Так и должно быть в серваках
     
     
  • 5.19, Аноним (12), 17:47, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну так создавался libUv под ноду.
     
  • 4.26, An (??), 19:01, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    >>так вот, event-loop в нгинкс и в Апач добавлен по заветам html5 эвент лупа и нодовского libUv

    Посмотри, что такое libevent, и когда его первые версии появились, когда появился nginx, и когда твоя обожаемая node.js с libuv.

     
     
  • 5.27, Аноним (12), 19:05, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Я знаю это. Речь про моду. Так вот, нода с libUv задала тренд асинхронности в бэкенде.
     
     
  • 6.29, An (??), 19:58, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Тренд асинхронности задала проблема 10k.
     
  • 3.21, _ (??), 17:55, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Да йухли их, басурман, жалеть!(С) Один kneize ;)

    Тогда получается IIS - это просто технологический шЫдевр!(С) :))))
    Чем хуже - тем лучше!(С) Да? :)

     
     
  • 4.25, Аноним (13), 18:22, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Не, знаю, может быть. Пусть MS вываливает исходники, посмотрим и скажем.
     

  • 1.20, нах. (?), 17:50, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    CVE-2025-66200 - организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой "RequestHeader"

    НО КАААААК?!

    (В смысле, я догадываюсь, но это откуда ж руки...или что это там у них?)

    CVE-2025-55753 - отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

    вообще не вижу уязвимости, даже очочки вот надел.
    Если у летшиткритпа уязвимость, что он сначала сбоит а потом ложится под нагрузкой - нафига это в апаче-то править?!

     
     
  • 2.22, _ (??), 17:57, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Уважаемые люди попросили ...
     
     
  • 3.24, нах. (?), 18:18, 05/12/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Уважаемые люди попросили ...

    могли б по тихому попросить, чо сразу cve-то?!

     

  • 1.23, Аноним (23), 18:13, 05/12/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    LAMP ещё торт!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру