09.06.2026 17:57
В Apache 2.
В Apache 2.4.68 исправлено 13 уязвимостей, включая DoS через HTTP/2 Bomb
Вышел релиз
HTTP-сервера Apache 2.4.68, в котором устранено 13 уязвимостей. Шесть из них имеют умеренный уровень опасности, остальные — низкий. Наиболее важные:
CVE-2026-49975 — отказ в обслуживании через исчерпание всей доступной памяти (HTTP/2 Bomb, аналогично уязвимости в nginx и других серверах).
CVE-2026-34355 — переполнение буфера в mod_proxy_html (эксплуатируется при контроле над бэкендом).
CVE-2026-44186 — бесконечное зацикливание в mod_proxy_ftp.
CVE-2026-44119 — локальные пользователи с правами на создание .htaccess могут читать файлы с привилегиями пользователя httpd.
CVE-2026-43951 — аварийное завершение из-за чтения за пределами буфера в mod_headers и mod_mime.
CVE-2026-42535 — в mod_dav_fs: авторы контента WebDAV могут получить доступ к каталогу с расширенными привилегиями.
CVE-2026-29167 — use-after-free в mod_ldap.
CVE-2026-29170 — межсайтовый скриптинг в mod_proxy_ftp.
CVE-2026-34356 — переполнение буфера в ProxyPassReverseCookieMap.
CVE-2026-42536 — переполнение буфера в mod_xml2enc.
CVE-2026-44185 — чтение за пределами буфера в mod_ssl (OCSP-запросы).
CVE-2026-44631 — переполнение буфера при обработке регулярных выражений в конфигурации.
CVE-2026-48913 — use-after-free в mod_http2 при исчезновении файловых дескрипторов.
Из не связанных с безопасностью изменений: в mod_ssl и утилите ab добавлена поддержка OpenSSL 4.0, в ErrorLogFormat появилась подстановка %{m}t для миллисекунд, mod_http2 обновлён до версии 2.0.42.
🐧Обсудить в Чате Linux
Вышел релиз
HTTP-сервера Apache 2.4.68, в котором устранено 13 уязвимостей. Шесть из них имеют умеренный уровень опасности, остальные — низкий. Наиболее важные:
CVE-2026-49975 — отказ в обслуживании через исчерпание всей доступной памяти (HTTP/2 Bomb, аналогично уязвимости в nginx и других серверах).
CVE-2026-34355 — переполнение буфера в mod_proxy_html (эксплуатируется при контроле над бэкендом).
CVE-2026-44186 — бесконечное зацикливание в mod_proxy_ftp.
CVE-2026-44119 — локальные пользователи с правами на создание .htaccess могут читать файлы с привилегиями пользователя httpd.
CVE-2026-43951 — аварийное завершение из-за чтения за пределами буфера в mod_headers и mod_mime.
CVE-2026-42535 — в mod_dav_fs: авторы контента WebDAV могут получить доступ к каталогу с расширенными привилегиями.
CVE-2026-29167 — use-after-free в mod_ldap.
CVE-2026-29170 — межсайтовый скриптинг в mod_proxy_ftp.
CVE-2026-34356 — переполнение буфера в ProxyPassReverseCookieMap.
CVE-2026-42536 — переполнение буфера в mod_xml2enc.
CVE-2026-44185 — чтение за пределами буфера в mod_ssl (OCSP-запросы).
CVE-2026-44631 — переполнение буфера при обработке регулярных выражений в конфигурации.
CVE-2026-48913 — use-after-free в mod_http2 при исчезновении файловых дескрипторов.
Из не связанных с безопасностью изменений: в mod_ssl и утилите ab добавлена поддержка OpenSSL 4.0, в ErrorLogFormat появилась подстановка %{m}t для миллисекунд, mod_http2 обновлён до версии 2.0.42.
🐧Обсудить в Чате Linux