🥇Релиз http-сервера Apache 2.4.64 с устранением 8 уязвимостей

Представлен релиз HTTP-сервера Apache 2.4.64, в котором устранено 8 уязвимостей и внесено 19 изменений.

Устранённые уязвимости (первые 4 имеют умеренный уровень опасности, а остальные низкий):

CVE-2024-42516 — возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться расщепления содержимого заголовка Content-Type в ответе для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
CVE-2024-43394 — специфичная для платформы Windows уязвимость SSRF (Server-Side Request Forgery), которая при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим.
CVE-2025-53020 — отказ в обслуживании через HTTP/2, приводящий к чрезмерному потреблению памяти.
CVE-2025-49812 — уязвимость в mod_ssl, позволяющая атакующему, контролирующему трафик (MITM), выполнить подстановку HTTP-сеанса, вклинившись в момент перехода с HTTP на HTTPS.
CVE-2025-23048 — обход ограничений доступа в mod_ssl при восстановлении прерванного сеанса.
CVE-2025-49630 — отказ в обслуживании, приводящий к аварийному завершению работы модуля mod_proxy_http2.
CVE-2024-47252 — некорректное экранирование символов в информации об ошибках mod_ssl, записываемой в лог.
CVE-2024-43204 — SSRF-уявзимость в mod_headers, позволяющая добиться в mod_proxy отправки исходящего запроса по адресу, указанному атакующим.

Среди не связанных с безопасностью улучшений:

В mod_systemd добавлена поддержка активации по сокету.
Модуль mod_http2 добавлена директива H2MaxHeaderBlockLen для ограничения размера HTTP-заголовков при ответе.
В mod_http2 обеспечена запись информации о продолжительности запросов HTTP/2.
Модуль mod_md добавлены директивы DProfile и MDProfileMandatory для поддержки расширения протокола ACME, реализующего профили сертификатов.

Источник: opennet.ru

ProHoster Консультант, Технический специалист

A technical specialist at ProHoster with over six years of experience in server administration, VPN solutions, and network security. I manage infrastructure setup and support, monitor service stability, and implement solutions to protect client data. I also contribute to performance optimization and compliance with modern security and privacy requirements.

See Full Bio

Релиз http-сервера Apache 2.4.64 с устранением 8 уязвимостей

Добавить комментарий Отменить ответ