В Apache httpd 2.4.67 устранена уязвимость в HTTP/2, не исключающая удалённое выполнение кода

05.05.2026 08:47 (MSK)

Представлен релиз HTTP-сервера Apache 2.4.67, в котором устранено 11 уязвимостей и внесено несколько исправлений. Наиболее опасная уязвимость (CVE-2026-23918) вызвана двойным освобождением памяти в модуле mod_http2 и потенциально может привести к удалённому выполнению кода на сервере через манипуляции с протоколом HTTP/2. Уязвимость проявляется только в выпуске 2.4.66. Проблеме присвоен уровень опасности 8.8 из 10.

Ещё одна уязвимость (CVE-2026-24072) с уровнем опасности 8.8 присутствует в модуле mod_rewrite и позволяет локальным пользователям хостинга, имеющим право создавать файлы ".htaccess", прочитать содержимое любых файлов в системе с привилегиями пользователя под которым запущен процесс httpd.

Менее опасные уязвимости:

CVE-2026-28780 - переполнение буфера в mod_proxy_ajp, которое может быть эксплуатировано при подключении прокси к вредоносному AJP-серверу. Через передачу специально оформленных AJP-сообщений (Apache JServ Protocol) можно добиться записи 4 байт за границу выделенного буфера.
CVE-2026-33523 - возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд (HTTP response splitting), позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
CVE-2026-33006 - атака по сторонним каналам (анализ задержек) на mod_auth_digest, позволяющая обойти Digest-аутентификацию.
CVE-2026-29168 - отсутствие должного ограничения выделяемых ресурсов при обработке специально оформленного ответа OCSP в mod_md.
CVE-2026-29169 - разыменование нулевого указателя в модуле mod_dav_lock, которое можно использовать для вызова аварийного завершения серверного процесса.
CVE-2026-33007 - разыменование нулевого указателя в модуле mod_authn_socache, которое можно использовать для вызова аварийного завершения дочернего процесса в конфигурациях с кэширующим прокси.
CVE-2026-33857 - чтение одного байта из памяти вне выделенного буфера в модуле mod_proxy_ajp.
CVE-2026-34032 - чтение данных из памяти вне выделенного буфера из-за отсутствия проверки на завершающий строку нулевой символ в mod_proxy_ajp.
CVE-2026-34059 - утечка содержимого памяти в mod_proxy_ajp.

Кроме того, в новом выпуске устранены не связанные с безопасностью ошибки в mod_http2 и mod_md, а также добавлены новые MIME-типы в файл conf/mime.types: vnd.sqlite3, HEIC, HEIF.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65361-apache

Ключевые слова: apache, httpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (2)

RSS

1, Аноним (1), 09:37, 05/05/2026 [ответить]	+/–
между тем, в RHEL и клонах до сих пор не устранена дыра copy fail

2, нах. (?), 10:01, 05/05/2026 [^] [^^] [^^^] [ответить]

+/–

Как будто она в де6илли@ноидах устранена? Вон от бабуинты надысь такое прилетело (с опозданием на неделю!) -
Summary:

kmod has been updated to block loading of the algif_aead kernel module.

Software Description:
- kmod: tools for managing Linux kernel modules

Details:

It was discovered that the Linux kernel algif_aead module contained a logic
flaw allowing a local attacker to escalate privileges to root. This update
to the kmod package disables loading the algif_aead module

- это они на самом деле модуль заблэклистили,а не то что ты подумал - просто конфиги не являются отдельным пакетом, пришлось обновлять сам кмод.

Охрененное решение проблемы под коврик вместо тривиального патча самой уязвимости, не правда ли?

Все ждут когда редхатовский инд...э...аутсорсер из рф протрезвеет после майской полуторанедели и запилит бэкпорт. Потом он когда-нибудь попадет в федору, и вот тогда ты увидишь, как стройными рядами побегут рапортовать об успехах дебианы с убунтами и все их стопиццот клонов.

А сами они не умеют ровно ничего.

Добавить комментарий

Текст: