Apache HTTP 伺服器 2.4.66 已發布,修復了五個漏洞並引入了數十項變更。
已修復漏洞(前 2 個漏洞嚴重程度中等,其餘漏洞嚴重程度低):
- CVE-2025-66200 — 透過操縱 .htaccess 檔案中的「RequestHeader」指令(如果 .htaccess 中允許使用指令),在具有 mod_userdir 和 suexec 的設定中,以不同使用者身分組織 CGI 腳本的啟動。
- CVE-2025-59775 — SSRF(伺服器端請求偽造)漏洞,當在平台上使用 Apache httpd 時,會導致 NTLM 雜湊值外洩到另一台伺服器。 Windows 在「AllowEncodedSlashes On」和「MergeSlashes Off」設定的設定中。
- CVE-2025-65082 - 由於控製字元轉義錯誤,CGI 腳本的環境變數可能會被覆蓋(在設定中設定變數可能會覆蓋已計算的變數值)。 服務器 (用於 CGI)。
- CVE-2025-58098 - 將轉義查詢字串傳遞給 SSI(伺服器端包含)指令» 在配置中使用 mod_cgid 而不是 mod_cgi。
- CVE-2025-55753 - 在嘗試續訂過期憑證時,如果多次失敗,mod_md 模組會連續發送(請求之間沒有延遲)重複的 ACME 憑證續訂請求。
非安全方面的改進包括:
- 實作 ACME 協定的 mod_md 模組已更新至 2.6.6 版本:
- 新增對 ARI(ACME 續期資訊)協定擴充的支持,該擴充功能允許檢索憑證續期需求資訊並選擇最佳續期時間。建議使用“MDRenewViaARI on|off”指令來啟用 ARI。
- 已實施「MDInitialDelay」指令,用於在伺服器重新啟動後設定憑證驗證延遲。
- MDRetryDelay 參數的預設值(發生錯誤後重試前的延遲時間)已增加到 30 秒。
- 支援服務已停止。 VPN- Tailscale 網路。
- 修復了漏洞和記憶體洩漏問題。
- mod_http2 模組已更新至 2.0.35 版本,該版本引入了「H2MaxStreamErrors」指令,用於設定流中錯誤數量的限制,超過限制後連接將關閉。
- mod_http2 現在可以正確處理來自 mod_cache 的帶有代碼 3 的回應。
- 在 mod_proxy_http2 中,實作了「ProxyErrorOverride」指令,用於覆寫錯誤碼。
- 「ListenTCPDeferAccept」指令已新增至mpm_common中,可讓您為監聽套接字設定TCP_DEFER_ACCEPT選項的值(僅當套接字上有資料到達時才啟動)。
- 為 mod_ssl 新增了「SSLVHostSNIPolicy」指令,用於設定虛擬主機的相容性規則。
來源: opennet.ru
