Релиз http-сервера Apache 2.4.68 с устранением 13 уязвимостей
Представлен релиз HTTP-сервера Apache 2.4.68, в котором устранено 13 уязвимостей и внесено несколько изменений.
Устранённые уязвимости (первые 6 имеют умеренный уровень опасности, а остальные низкий):
CVE-2026–34355 — переполнение буфера в mod_proxy_html, проявляющееся при обращении к бэкенду, контролируемому атакующим.
- CVE-2026–49975 — отказ в обслуживании через исчерпание всей доступной процессу памяти.
- CVE-2026–44186 — бесконечное зацикливании в модуле mod_proxy_ftp, эксплуатируемое при обращении к подконтрольному атакующему FTP-серверу.
- CVE-2026–44119 — локальные пользователи с правами создания файлов .htaccess могут прочитать содержимое файлов с привилегиями пользователя httpd.
- CVE-2026–43951 — аварийное завершение процесса из-за чтения из области памяти за пределами выделенного буфера в mod_headers и mod_mime.
- CVE-2026–42535 — уязвимость в mod_dav_fs, позволяющая авторам содержимого WebDAV получить доступ каталогу, требующему расширенных привилегий.
CVE-2026–29167 — обращение к памяти после её освобождения в mod_ldap.
- CVE-2026–29170 — межсайтовый скриптинг в mod_proxy_ftp.
- CVE-2026–34356 — переполнение буфера в реализации ProxyPassReverseCookieMap.
- CVE-2026–42536 — переполнение буфера в mod_xml2enc.
- CVE-2026–44185 — чтение из области вне буфера в mod_ssl при выполнении запросов к OCSP-серверу атакующего.
- CVE-2026–44631 — переполнение буфера при обработке регулярных выражений в конфигурации.
CVE-2026–48913 — обращение к памяти после её освобождения в mod_http2, возникающее при исчерпании доступных файловых дескрипторов.
Среди не связанных с безопасностью улучшений:
- В mod_ssl и утилите ab реализована поддержка OpenSSL 4.0.
В mod_ssl добавлено распознавание типа атрибутов SerialNumber.
В директиву ErrorLogFormat добавлена поддержка подстановки »%{m}t» для указания в логе времени с миллисекундной точностью.
Модуль mod_http2 обновлён до версии 2.0.42.
Источник: http://www.opennet.ru/opennews/art.shtml? num=65645
© OpenNet
