Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей

Представлен релиз HTTP-сервера Apache 2.4.66, в котором устранено 5 уязвимостей и внесено несколько десятков изменений.

Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):

• CVE-2025-66200 — организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой «RequestHeader» в файле .htaccess (если разрешено её использование .htaccess).
• CVE-2025-59775 — SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками «AllowEncodedSlashes On» и «MergeSlashes Off».
• CVE-2025-65082 — переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI).
• CVE-2025-58098 — передача экранированной строки запроса в SSI (Server Side Includes) директиву «<!—#exec cmd=…—>» в конфигурациях с mod_cgid вместо mod_cgi.
• CVE-2025-55753 — отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

Среди не связанных с безопасностью улучшений:

• Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6:
  • Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива «MDRenewViaARI on|off».
  • Реализована директива «MDInitialDelay» для выставления задержки проверки сертификата после перезапуска сервера.
  • До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки).
  • Прекращена поддержка VPN-сети Tailscale.
  • Устранены ошибки и утечка памяти.
• Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива «H2MaxStreamErrors» для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто.
• В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache.
• В mod_proxy_http2 реализована директива «ProxyErrorOverride» для переопределения кодов ошибок.
• В mpm_common добавлена директива «ListenTCPDeferAccept», через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета.
• В mod_ssl добавлена директива «SSLVHostSNIPolicy» для настройки правил совместимости для виртуальных хостов.

Источник: opennet.ru