🥇В Apache httpd 2.4.67 исправлена уязвимость в HTTP/2 с возможностью RCE

Проект Apache HTTP Server выпустил корректирующий релиз httpd 2.4.67, в котором устранена уязвимость CVE-2026-23918 в реализации HTTP/2. Проблема получила уровень важности მნიშვნელოვანი и связана с ошибкой класса double free при обработке сценария раннего сброса соединения в HTTP/2. В неблагоприятных условиях ошибка может привести не только к аварийному завершению рабочего процесса, но и к потенциальному удалённому выполнению кода.

Согласно описанию Apache, уязвимость затрагивает Apache HTTP სერვერი 2.4.66. Пользователям этой версии рекомендуется обновиться до 2.4.67, где проблема исправлена. В качестве обнаруживших уязвимость указаны Bartlomiej Dmitruk из striga.ai и Stanislaw Strzalkowski из isec.pl.

В changelog релиза также отмечено обновление მოდ_http2 ვერსიამდე 2.0.37, где предотвращён повторный purge потока, приводивший к double free, а затем до 2.0.38 и 2.0.39. Помимо CVE-2026-23918, выпуск закрывает ряд других проблем безопасности в mod_proxy_ajp, mod_auth_digest, mod_authn_socache, mod_md, mod_rewrite и других компонентах.

გათავისუფლება Apache httpd 2.4.67 опубликован 4 мая 2026 года и объявлен текущей рекомендуемой версией стабильной ветки 2.4.x. Для администраторов, использующих Apache с включённым HTTP/2, обновление стоит рассматривать как приоритетное, особенно если в эксплуатации уже находится 2.4.66.

წყარო: linux.org.ru

Apache httpd 2.4.67 ასწორებს HTTP/2 დაუცველობას RCE შესაძლებლობებით