Релиз Http-сервера Apache 2.4.64 с устранением 8 уязвимостей

Представлен релиз HTTP-сервера Apache 2.4.64, в котором устранено 8 уязвимостей и внесено 19 изменений.

Устранённые уязвимости (первые 4 имеют умеренный уровень опасности, а остальные низкий):

  • CVE-2024-42516 – возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться расщепления содержимого заголовка Content-Type в ответе для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
  • CVE-2024-43394 – специфичная для платформы Windows уязвимость SSRF (Server-Side Request Forgery), которая при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим.
  • CVE-2025-53020 – отказ в обслуживании через HTTP/2, приводящий к чрезмерному потреблению памяти.
  • CVE-2025-49812 – уязвимость в mod_ssl, позволяющая атакующему, контролирующему трафик (MITM), выполнить подстановку HTTP-сеанса, вклинившись в момент перехода с HTTP на HTTPS.
  • CVE-2025-23048 – обход ограничений доступа в mod_ssl при восстановлении прерванного сеанса.
  • CVE-2025-49630 – отказ в обслуживании, приводящий к аварийному завершению работы модуля mod_proxy_http2.
  • CVE-2024-47252 – некорректное экранирование символов в информации об ошибках mod_ssl, записываемой в лог.
  • CVE-2024-43204 – SSRF-уявзимость в mod_headers, позволяющая добиться в mod_proxy отправки исходящего запроса по адресу, указанному атакующим.

Среди не связанных с безопасностью улучшений:

  • В mod_systemd добавлена поддержка активации по сокету.
  • Модуль mod_http2 добавлена директива H2MaxHeaderBlockLen для ограничения размера HTTP-заголовков при ответе.
  • В mod_http2 обеспечена запись информации о продолжительности запросов HTTP/2.
  • Модуль mod_md добавлены директивы DProfile и MDProfileMandatory для поддержки расширения протокола ACME, реализующего профили сертификатов.
Release. Ссылка here.