Представлен релиз HTTP-сервера Apache 2.4.68, в котором устранено 13 уязвимостей и внесено несколько изменений.
Đã sửa các lỗ hổng bảo mật (6 lỗ hổng đầu tiên có mức độ nghiêm trọng trung bình, các lỗ hổng còn lại có mức độ nghiêm trọng thấp):
- CVE-2026-34355 — переполнение буфера в mod_proxy_html, проявляющееся при обращении к бэкенду, контролируемому атакующим.
- CVE-2026-49975 — отказ в обслуживании через исчерпание всей доступной процессу памяти.
- CVE-2026-44186 — бесконечное зацикливании в модуле mod_proxy_ftp, эксплуатируемое при обращении к подконтрольному атакующему FTP-серверу.
- CVE-2026-44119 — локальные пользователи с правами создания файлов .htaccess могут прочитать содержимое файлов с привилегиями пользователя httpd.
- CVE-2026-43951 — аварийное завершение процесса из-за чтения из области памяти за пределами выделенного буфера в mod_headers и mod_mime.
- CVE-2026-42535 — уязвимость в mod_dav_fs, позволяющая авторам содержимого WebDAV получить доступ каталогу, требующему расширенных привилегий.
- CVE-2026-29167 — обращение к памяти после её освобождения в mod_ldap.
- CVE-2026-29170 — межсайтовый скриптинг в mod_proxy_ftp.
- CVE-2026-34356 — переполнение буфера в реализации ProxyPassReverseCookieMap.
- CVE-2026-42536 — переполнение буфера в mod_xml2enc.
- CVE-2026-44185 — чтение из области вне буфера в mod_ssl при выполнении запросов к OCSP-серверу атакующего.
- CVE-2026-44631 — переполнение буфера при обработке регулярных выражений в конфигурации.
- CVE-2026-48913 — обращение к памяти после её освобождения в mod_http2, возникающее при исчерпании доступных файловых дескрипторов.
Những cải tiến không liên quan đến bảo mật bao gồm:
- В mod_ssl и утилите ab реализована поддержка OpenSSL 4.0.
- В mod_ssl добавлено распознавание типа атрибутов SerialNumber.
- В директиву ErrorLogFormat добавлена поддержка подстановки «%{m}t» для указания в логе времени с миллисекундной точностью.
- Модуль mod_http2 обновлён до версии 2.0.42.
Nguồn: opennet.ru
