Представлен релиз HTTP-сервера Apache 2.4.67, в котором устранено 11 уязвимостей и внесено несколько исправлений. Наиболее опасная уязвимость (CVE-2026-23918) вызвана двойным освобождением памяти в модуле mod_http2 и потенциально может привести к удалённому выполнению кода на сервере через манипуляции с протоколом HTTP/2. Уязвимость проявляется только в выпуске 2.4.66. Проблеме присвоен уровень опасности 8.8 из 10.
Ещё одна уязвимость (CVE-2026-24072) с уровнем опасности 8.8 присутствует в модуле mod_rewrite и позволяет локальным пользователям хостинга, имеющим право создавать файлы «.htaccess», прочитать содержимое любых файлов в системе с привилегиями пользователя под которым запущен процесс httpd.
Помалку опасни ранливости:
- CVE-2026-28780 — переполнение буфера в mod_proxy_ajp, которое может быть эксплуатировано при подключении прокси к вредоносному AJP-серверу. Через передачу специально оформленных AJP-сообщений (Apache JServ Protocol) можно добиться записи 4 байт за границу выделенного буфера.
- CVE-2026-33523 — возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд (HTTP response splitting), позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
- CVE-2026-33006 — атака по сторонним каналам (анализ задержек) на mod_auth_digest, позволяющая обойти Digest-аутентификацию.
- CVE-2026-29168 — отсутствие должного ограничения выделяемых ресурсов при обработке специально оформленного ответа OCSP в mod_md.
- CVE-2026-29169 — разыменование нулевого указателя в модуле mod_dav_lock, которое можно использовать для вызова аварийного завершения серверного процесса.
- CVE-2026-33007 — разыменование нулевого указателя в модуле mod_authn_socache, которое можно использовать для вызова аварийного завершения дочернего процесса в конфигурациях с кэширующим прокси.
- CVE-2026-33857 — чтение одного байта из памяти вне выделенного буфера в модуле mod_proxy_ajp.
- CVE-2026-34032 — чтение данных из памяти вне выделенного буфера из-за отсутствия проверки на завершающий строку нулевой символ в mod_proxy_ajp.
- CVE-2026-34059 — утечка содержимого памяти в mod_proxy_ajp.
Кроме того, в новом выпуске устранены не связанные с безопасностью ошибки в mod_http2 и mod_md, а также добавлены новые MIME-типы в файл conf/mime.types: vnd.sqlite3, HEIC, HEIF.
Извор: opennet.ru
