Представлен релиз HTTP-сервера Apache 2.4.66, в котором устранено 5 уязвимостей и внесено несколько десятков изменений.
Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):
- CVE-2025-66200 — организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой «RequestHeader» в файле .htaccess (если разрешено её использование .htaccess).
- CVE-2025-59775 — SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками «AllowEncodedSlashes On» и «MergeSlashes Off».
- CVE-2025-65082 — переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI).
- CVE-2025-58098 — передача экранированной строки запроса в SSI (Server Side Includes) директиву «<!—#exec cmd=…—>» в конфигурациях с mod_cgid вместо mod_cgi.
- CVE-2025-55753 — отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.
Среди не связанных с безопасностью улучшений:
- Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6:
- Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива «MDRenewViaARI on|off».
- Реализована директива «MDInitialDelay» для выставления задержки проверки сертификата после перезапуска сервера.
- До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки).
- Прекращена поддержка VPN-сети Tailscale.
- Устранены ошибки и утечка памяти.
- Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива «H2MaxStreamErrors» для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто.
- В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache.
- В mod_proxy_http2 реализована директива «ProxyErrorOverride» для переопределения кодов ошибок.
- В mpm_common добавлена директива «ListenTCPDeferAccept», через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета.
- В mod_ssl добавлена директива «SSLVHostSNIPolicy» для настройки правил совместимости для виртуальных хостов.
Источник: opennet.ru
