Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей

Новости мира unix. Хотите узнать секрет вечного счастья? Откройте страницу 246.
Ответить
acolyte
Аватара пользователя
Сообщения: 733
Зарегистрирован: 20.08.2022

#

Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей
Дата публикации:Fri, 05 Dec 2025 13:32:37 +0300

Представлен релиз HTTP-сервера Apache 2.4.66, в котором устранено 5 уязвимостей и внесено несколько десятков изменений.
Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):
  • CVE-2025-66200 - организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой "RequestHeader" в файле .htaccess (если разрешено её использование .htaccess). CVE-2025-59775 - SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками "AllowEncodedSlashes On" и "MergeSlashes Off". CVE-2025-65082 - переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI). CVE-2025-58098 - передача экранированной строки запроса в SSI (Server Side Includes) директиву "<!--#exec cmd=...-->" в конфигурациях с mod_cgid вместо mod_cgi. CVE-2025-55753 - отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.
Среди не связанных с безопасностью улучшений:
  • Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6: Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива "MDRenewViaARI on|off". Реализована директива "MDInitialDelay" для выставления задержки проверки сертификата после перезапуска сервера. До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки). Прекращена поддержка VPN-сети Tailscale. Устранены ошибки и утечка памяти.
Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива "H2MaxStreamErrors" для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто. В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache. В mod_proxy_http2 реализована директива "ProxyErrorOverride" для переопределения кодов ошибок. В mpm_common добавлена директива "ListenTCPDeferAccept", через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета. В mod_ssl добавлена директива "SSLVHostSNIPolicy" для настройки правил совместимости для виртуальных хостов.

Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=64380

Жизнь за Нер'зула!

Ответить

Вернуться в «Глобальные новости»