Представлен релиз HTTP-сервера Apache 2.4.68, в котором устранено 13 уязвимостей и внесено несколько изменений.
Vulnerabilidades corrigidas (as 6 primeiras são de gravidade moderada, as demais são de baixa gravidade):
- CVE-2026-34355 — переполнение буфера в mod_proxy_html, проявляющееся при обращении к бэкенду, контролируемому атакующим.
- CVE-2026-49975 — отказ в обслуживании через исчерпание всей доступной процессу памяти.
- CVE-2026-44186 — бесконечное зацикливании в модуле mod_proxy_ftp, эксплуатируемое при обращении к подконтрольному атакующему FTP-серверу.
- CVE-2026-44119 — локальные пользователи с правами создания файлов .htaccess могут прочитать содержимое файлов с привилегиями пользователя httpd.
- CVE-2026-43951 — аварийное завершение процесса из-за чтения из области памяти за пределами выделенного буфера в mod_headers и mod_mime.
- CVE-2026-42535 — уязвимость в mod_dav_fs, позволяющая авторам содержимого WebDAV получить доступ каталогу, требующему расширенных привилегий.
- CVE-2026-29167 — обращение к памяти после её освобождения в mod_ldap.
- CVE-2026-29170 — межсайтовый скриптинг в mod_proxy_ftp.
- CVE-2026-34356 — переполнение буфера в реализации ProxyPassReverseCookieMap.
- CVE-2026-42536 — переполнение буфера в mod_xml2enc.
- CVE-2026-44185 — чтение из области вне буфера в mod_ssl при выполнении запросов к OCSP-серверу атакующего.
- CVE-2026-44631 — переполнение буфера при обработке регулярных выражений в конфигурации.
- CVE-2026-48913 — обращение к памяти после её освобождения в mod_http2, возникающее при исчерпании доступных файловых дескрипторов.
As melhorias não relacionadas à segurança incluem:
- В mod_ssl и утилите ab реализована поддержка OpenSSL 4.0.
- В mod_ssl добавлено распознавание типа атрибутов SerialNumber.
- В директиву ErrorLogFormat добавлена поддержка подстановки «%{m}t» для указания в логе времени с миллисекундной точностью.
- Модуль mod_http2 обновлён до версии 2.0.42.
Fonte: opennet.ru
