В Apache httpd 2.4.67 устранена уязвимость в HTTP/2, не исключающая удалённое выполнение кода

Представлен релиз HTTP-сервера Apache 2.4.67, в котором устранено 11 уязвимостей и внесено несколько исправлений. Наиболее опасная уязвимость (CVE-2026-23918) вызвана двойным освобождением памяти в модуле mod_http2 и потенциально может привести к удалённому выполнению кода на сервере через манипуляции с протоколом HTTP/2. Уязвимость проявляется только в выпуске 2.4.66. Проблеме присвоен уровень опасности 8.8 из 10.

Ещё одна уязвимость (CVE-2026-24072) с уровнем опасности 8.8 присутствует в модуле mod_rewrite и позволяет локальным пользователям хостинга, имеющим право создавать файлы «.htaccess», прочитать содержимое любых файлов в системе с привилегиями пользователя под которым запущен процесс httpd.

Менее опасные уязвимости:

  • CVE-2026-28780 — переполнение буфера в mod_proxy_ajp, которое может быть эксплуатировано при подключении прокси к вредоносному AJP-серверу. Через передачу специально оформленных AJP-сообщений (Apache JServ Protocol) можно добиться записи 4 байт за границу выделенного буфера.
  • CVE-2026-33523 — возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд (HTTP response splitting), позволяющей добиться подстановки дополнительных заголовков ответа или расщеплению ответов для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
  • CVE-2026-33006 — атака по сторонним каналам (анализ задержек) на mod_auth_digest, позволяющая обойти Digest-аутентификацию.
  • CVE-2026-29168 — отсутствие должного ограничения выделяемых ресурсов при обработке специально оформленного ответа OCSP в mod_md.
  • CVE-2026-29169 — разыменование нулевого указателя в модуле mod_dav_lock, которое можно использовать для вызова аварийного завершения серверного процесса.
  • CVE-2026-33007 — разыменование нулевого указателя в модуле mod_authn_socache, которое можно использовать для вызова аварийного завершения дочернего процесса в конфигурациях с кэширующим прокси.
  • CVE-2026-33857 — чтение одного байта из памяти вне выделенного буфера в модуле mod_proxy_ajp.
  • CVE-2026-34032 — чтение данных из памяти вне выделенного буфера из-за отсутствия проверки на завершающий строку нулевой символ в mod_proxy_ajp.
  • CVE-2026-34059 — утечка содержимого памяти в mod_proxy_ajp.

Кроме того, в новом выпуске устранены не связанные с безопасностью ошибки в mod_http2 и mod_md, а также добавлены новые MIME-типы в файл conf/mime.types: vnd.sqlite3, HEIC, HEIF.

Источник: http://www.opennet.ru/opennews/art.shtml?num=65361