Представлен релиз HTTP-сервера Apache 2.4.64, в котором устранено 8 уязвимостей и внесено 19 изменений. Устранённые уязвимости (первые 4 имеют умеренный уровень опасности, а остальные низкий):
Источник: https://www.opennet.ru/opennews/art.shtml?num=63566
- CVE-2024-42516 - возможность совершения атаки по разделению ответов HTTP на системах фронтэнд-бэкенд, позволяющей добиться расщепления содержимого заголовка Content-Type в ответе для того, чтобы вклиниться в содержимое ответов другим пользователям, обрабатываемых в том же потоке между фронтэндом и бэкендом. CVE-2024-43394 - специфичная для платформы Windows уязвимость SSRF (Server-Side Request Forgery), которая при отправке специально оформленных запросов может привести к утечке NTLM-хэшей на сервер, подконтрольный атакующим. CVE-2025-53020 - отказ в обслуживании через HTTP/2, приводящий к чрезмерному потреблению памяти. CVE-2025-49812 - уязвимость в mod_ssl, позволяющая атакующему, контролирующему трафик (MITM), выполнить подстановку HTTP-сеанса, вклинившись в момент перехода с HTTP на HTTPS. CVE-2025-23048 - обход ограничений доступа в mod_ssl при восстановлении прерванного сеанса. CVE-2025-49630 - отказ в обслуживании, приводящий к аварийному завершению работы модуля mod_proxy_http2. CVE-2024-47252 - некорректное экранирование символов в информации об ошибках mod_ssl, записываемой в лог. CVE-2024-43204 - SSRF-уявзимость в mod_headers, позволяющая добиться в mod_proxy отправки исходящего запроса по адресу, указанному атакующим.
- В mod_systemd добавлена поддержка активации по сокету. Модуль mod_http2 добавлена директива H2MaxHeaderBlockLen для ограничения размера HTTP-заголовков при ответе. В mod_http2 обеспечена запись информации о продолжительности запросов HTTP/2. Модуль mod_md добавлены директивы DProfile и MDProfileMandatory для поддержки расширения протокола ACME, реализующего профили сертификатов.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63566