[ON] Релиз http-сервера Apache 2.4.68 с устранением 13 уязвимостей

Обсуждение новостей, соответствующих тематике форума

Модератор: Модераторы разделов

Аватара пользователя
rssbot
Бот
Сообщения: 6000
ОС: gnu/linux

[ON] Релиз http-сервера Apache 2.4.68 с устранением 13 уязвимостей

Сообщение rssbot »

Представлен релиз HTTP-сервера Apache 2.4.68, в котором устранено 13 уязвимостей и внесено несколько изменений.


Устранённые уязвимости (первые 6 имеют умеренный уровень опасности, а остальные низкий):
  • CVE-2026-34355 - переполнение буфера в mod_proxy_html, проявляющееся при обращении к бэкенду, контролируемому атакующим.
  • CVE-2026-49975 - отказ в обслуживании через исчерпание всей доступной процессу памяти.
  • CVE-2026-44186 - бесконечное зацикливании в модуле mod_proxy_ftp, эксплуатируемое при обращении к подконтрольному атакующему FTP-серверу.
  • CVE-2026-44119 - локальные пользователи с правами создания файлов .htaccess могут прочитать содержимое файлов с привилегиями пользователя httpd.
  • CVE-2026-43951 - аварийное завершение процесса из-за чтения из области памяти за пределами выделенного буфера в mod_headers и mod_mime.
  • CVE-2026-42535 - уязвимость в mod_dav_fs, позволяющая авторам содержимого WebDAV получить доступ каталогу, требующему расширенных привилегий.
  • CVE-2026-29167 - обращение к памяти после её освобождения в mod_ldap.
  • CVE-2026-29170 - межсайтовый скриптинг в mod_proxy_ftp.
  • CVE-2026-34356 - переполнение буфера в реализации ProxyPassReverseCookieMap.
  • CVE-2026-42536 - переполнение буфера в mod_xml2enc.
  • CVE-2026-44185 - чтение из области вне буфера в mod_ssl при выполнении запросов к OCSP-серверу атакующего.
  • CVE-2026-44631 - переполнение буфера при обработке регулярных выражений в конфигурации.
  • CVE-2026-48913 - обращение к памяти после её освобождения в mod_http2, возникающее при исчерпании доступных файловых дескрипторов.

Среди не связанных с безопасностью улучшений:
  • В mod_ssl и утилите ab реализована поддержка OpenSSL 4.0.
  • В mod_ssl добавлено распознавание типа атрибутов SerialNumber.
  • В директиву ErrorLogFormat добавлена поддержка подстановки "%{m}t" для указания в логе времени с миллисекундной точностью.
  • Модуль mod_http2 обновлён до версии 2.0.42.


Источник: https://www.opennet.ru/opennews/art.shtml?num=65645
(opennet.ru, мини-новости)
Спасибо сказали: