Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей

[root:#]

Представлен релиз HTTP-сервера Apache 2.4.66, в котором устранено 5 уязвимостей и внесено несколько десятков изменений.
Устранённые уязвимости (первые 2 имеют умеренный уровень опасности, а остальные низкий):

• CVE-2025-66200 - организация запуска CGI-скрипта под другим пользователем в конфигурациях с mod_userdir и suexec через манипуляции с директивой "RequestHeader" в файле .htaccess (если разрешено её использование .htaccess). CVE-2025-59775 - SSRF-уязвимость (Server-Side Request Forgery), приводящая к утечке NTLM-хэша на другой сервер при использовании Apache httpd на платформе Windows в конфигурациях c настройками "AllowEncodedSlashes On" и "MergeSlashes Off". CVE-2025-65082 - переопределение переменных окружения для CGI-скриптов из-за некорректного экранирования управляющих символов (выставление переменных в настройках может переопределить значения переменных, вычисленные сервером для CGI). CVE-2025-58098 - передача экранированной строки запроса в SSI (Server Side Includes) директиву "‹!--#exec cmd=...--›" в конфигурациях с mod_cgid вместо mod_cgi. CVE-2025-55753 - отправка непрерывных (без задержки между запросами) повторных ACME-запросов обновления сертификата в модуле mod_md после большого числа сбоев при попытке обновления просроченного сертификата.

Среди не связанных с безопасностью улучшений:

• Модуль mod_md с реализацией протокола ACME обновлён до версии 2.6.6: Добавлена поддержка расширения протокола ARI (ACME Renewal Information), позволяющего получать сведения о необходимости обновления сертификатов и выбирать оптимальное время для обновления. Для включения ARI предложена директива "MDRenewViaARI on|off". Реализована директива "MDInitialDelay" для выставления задержки проверки сертификата после перезапуска сервера. До 30 секунд увеличено значение по умолчанию параметра MDRetryDelay (задержка перед повторной попыткой после ошибки). Прекращена поддержка VPN-сети Tailscale. Устранены ошибки и утечка памяти.

Модуль mod_http2 обновлён до версии 2.0.35, в которой появилась директива "H2MaxStreamErrors" для задания лимита на число ошибок в потоке, после достижения которого соединение будет закрыто. В mod_http2 налажена корректная обработка ответов с кодом 3 от mod_cache. В mod_proxy_http2 реализована директива "ProxyErrorOverride" для переопределения кодов ошибок. В mpm_common добавлена директива "ListenTCPDeferAccept", через которую можно выставить значение опции TCP_DEFER_ACCEPT (активация только при приходе данных на сокет) для слушающего сокета. В mod_ssl добавлена директива "SSLVHostSNIPolicy" для настройки правил совместимости для виртуальных хостов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=64380