Представлен релиз HTTP-сервера Apache 2.4.64, в котором устранено 8 уязвимостей и внесено 19 изменений.
Устранённые уязвимости (первые 4 имеют умеренный уровень опасности, а остальные низкий):
- CVE-2024-42516 – возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться расщепления содержимого заголовка Content-Type в ответе для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом.
- CVE-2024-43394 – специфичная для платформы Windows уязвимость SSRF (Server-Side Request Forgery), которая при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим.
- CVE-2025-53020 – отказ в обслуживании через HTTP/2, приводящий к чрезмерному потреблению памяти.
- CVE-2025-49812 – уязвимость в mod_ssl, позволяющая атакующему, контролирующему трафик (MITM), выполнить подстановку HTTP-сеанса, вклинившись в момент перехода с HTTP на HTTPS.
- CVE-2025-23048 – обход ограничений доступа в mod_ssl при восстановлении прерванного сеанса.
- CVE-2025-49630 – отказ в обслуживании, приводящий к аварийному завершению работы модуля mod_proxy_http2.
- CVE-2024-47252 – некорректное экранирование символов в информации об ошибках mod_ssl, записываемой в лог.
- CVE-2024-43204 – SSRF-уявзимость в mod_headers, позволяющая добиться в mod_proxy отправки исходящего запроса по адресу, указанному атакующим.
Среди не связанных с безопасностью улучшений:
- В mod_systemd добавлена поддержка активации по сокету.
- Модуль mod_http2 добавлена директива H2MaxHeaderBlockLen для ограничения размера HTTP-заголовков при ответе.
- В mod_http2 обеспечена запись информации о продолжительности запросов HTTP/2.
- Модуль mod_md добавлены директивы DProfile и MDProfileMandatory для поддержки расширения протокола ACME, реализующего профили сертификатов.
Release.
Ссылка here.