Apache HTTP 服务器项目发布了维护版本。 httpd 2.4.67其中,该漏洞已被消除。 CVE-2026-23918 在 HTTP/2 实现中存在此问题。该问题已被评为严重级别。 重要 并且与类错误有关 双免费 在处理 HTTP/2 中的早期连接重置场景时,在不利条件下,该错误不仅会导致工作流崩溃,还会导致…… 潜在的远程代码执行.
根据 Apache 的描述,该漏洞会影响 Apache HTTP Server 2.4.66建议此版本的用户升级到 2.4.67该问题已修复。striga.ai 的 Bartlomiej Dmitruk 和 isec.pl 的 Stanislaw Strzalkowski 被列为发现该漏洞的人员。
该版本更新日志也记录了此次更新。 mod_http2 最高版本 2.0.37这防止了重复流清除导致的双重释放,然后更新到 2.0.38 和 2.0.39 版本。除了 CVE-2026-23918 之外,该版本还解决了 mod_proxy_ajp、mod_auth_digest、mod_authn_socache、mod_md、mod_rewrite 和其他组件中的许多其他安全问题。
释放 阿帕奇 httpd 2.4.67 此版本于 2026 年 5 月 4 日发布,是 2.4.x 稳定分支的当前推荐版本。使用启用了 HTTP/2 的 Apache 的管理员应优先考虑此次升级,尤其是在已在使用 2.4.66 版本的情况下。
来源: linux.org.ru
