Проект Apache HTTP Server выпустил корректирующий релиз хттпд 2.4.67, в котором устранена уязвимость ЦВЕ-КСНУМКС-КСНУМКС в реализации HTTP/2. Проблема получила уровень важности важно и связана с ошибкой класса дупло бесплатно при обработке сценария раннего сброса соединения в HTTP/2. В неблагоприятных условиях ошибка может привести не только к аварийному завершению рабочего процесса, но и к потенциальному удалённому выполнению кода.
Согласно описанию Apache, уязвимость затрагивает Апацхе ХТТП Сервер КСНУМКС. Пользователям этой версии рекомендуется обновиться до 2.4.67, где проблема исправлена. В качестве обнаруживших уязвимость указаны Bartlomiej Dmitruk из striga.ai и Stanislaw Strzalkowski из isec.pl.
В changelog релиза также отмечено обновление мод_хттп2 до верзије 2.0.37, где предотвращён повторный purge потока, приводивший к double free, а затем до 2.0.38 и 2.0.39. Помимо CVE-2026-23918, выпуск закрывает ряд других проблем безопасности в mod_proxy_ajp, mod_auth_digest, mod_authn_socache, mod_md, mod_rewrite и других компонентах.
Издање Апацхе хттпд 2.4.67 опубликован 4 мая 2026 года и объявлен текущей рекомендуемой версией стабильной ветки 2.4.x. Для администраторов, использующих Apache с включённым HTTP/2, обновление стоит рассматривать как приоритетное, особенно если в эксплуатации уже находится 2.4.66.
Извор: линук.орг.ру
