Дата публикации:Mon, 08 Jun 2026 23:01:10 +0300
Представлен релиз HTTP-сервера Apache 2.4.68, в котором устранено 13 уязвимостей и внесено несколько изменений.
Устранённые уязвимости (первые 6 имеют умеренный уровень опасности, а остальные низкий):
- CVE-2026-34355 - переполнение буфера в mod_proxy_html, проявляющееся при обращении к бэкенду, контролируемому атакующим. CVE-2026-49975 - отказ в обслуживании через исчерпание всей доступной процессу памяти. CVE-2026-44186 - бесконечное зацикливании в модуле mod_proxy_ftp, эксплуатируемое при обращении к подконтрольному атакующему FTP-серверу. CVE-2026-44119 - локальные пользователи с правами создания файлов .htaccess могут прочитать содержимое файлов с привилегиями пользователя httpd. CVE-2026-43951 - аварийное завершение процесса из-за чтения из области памяти за пределами выделенного буфера в mod_headers и mod_mime. CVE-2026-42535 - уязвимость в mod_dav_fs, позволяющая авторам содержимого WebDAV получить доступ каталогу, требующему расширенных привилегий. CVE-2026-29167 - обращение к памяти после её освобождения в mod_ldap. CVE-2026-29170 - межсайтовый скриптинг в mod_proxy_ftp. CVE-2026-34356 - переполнение буфера в реализации ProxyPassReverseCookieMap. CVE-2026-42536 - переполнение буфера в mod_xml2enc. CVE-2026-44185 - чтение из области вне буфера в mod_ssl при выполнении запросов к OCSP-серверу атакующего. CVE-2026-44631 - переполнение буфера при обработке регулярных выражений в конфигурации. CVE-2026-48913 - обращение к памяти после её освобождения в mod_http2, возникающее при исчерпании доступных файловых дескрипторов.
- В mod_ssl и утилите ab реализована поддержка OpenSSL 4.0. В mod_ssl добавлено распознавание типа атрибутов SerialNumber. В директиву ErrorLogFormat добавлена поддержка подстановки "%{m}t" для указания в логе времени с миллисекундной точностью. Модуль mod_http2 обновлён до версии 2.0.42.
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=65645