Релиз Http-сервера Apache 2.4.66 с устранением 5 уязвимостей

Silkway News
Silkway News
  • Date Time

Представлен релиз HTTP-сервера Apache 2.4.66, в котором устранено 5 уязвимостей и внесено несколько десятков изменений.

Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):

  • CVE-2025-66200 – организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой “RequestHeader” в файле .htaccess (если разрешено её использование .htaccess).
  • CVE-2025-59775 – SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками “AllowEncodedSlashes On” и “MergeSlashes Off”.
  • CVE-2025-65082 – переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI).
  • CVE-2025-58098 – передача экранированной строки запроса в SSI (Server Side Includes) директиву “” в конфигурациях с mod_cgid вместо mod_cgi.
  • CVE-2025-55753 – отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

Среди не связанных с безопасностью улучшений:

  • Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6:
    • Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива “MDRenewViaARI on|off”.
    • Реализована директива “MDInitialDelay” для выставления задержки проверки сертификата после перезапуска сервера.
    • До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки).
    • Прекращена поддержка VPN-сети Tailscale.
    • Устранены ошибки и утечка памяти.
  • Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива “H2MaxStreamErrors” для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто.
  • В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache.
  • В mod_proxy_http2 реализована директива “ProxyErrorOverride” для переопределения кодов ошибок.
  • В mpm_common добавлена директива “ListenTCPDeferAccept”, через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета.
  • В mod_ssl добавлена директива “SSLVHostSNIPolicy” для настройки правил совместимости для виртуальных хостов.
Release. Ссылка here.

© 2025 - Silkway News