Фонд Apache Software Foundation выпустил критическое обновление безопасности для своего веб-сервера. Релиз версии 2.4.66 призван устранить пять уязвимостей, две из которых имеют средний уровень опасности. Эксплуатация этих недостатков удаленным злоумышленником может привести к отказу в обслуживании, обходу ограничений безопасности или утечке конфиденциальных данных.
Детали уязвимостей
Затронуты все версии Apache HTTP Server, предшествующие 2.4.66. Администраторам настоятельно рекомендуется как можно скорее обновить свое программное обеспечение до последней стабильной сборки. Проблемы, получившие идентификаторы CVE-2025-55753, CVE-2025-58098, CVE-2025-59775, CVE-2025-65082 и CVE-2025-66200, охватывают различные модули сервера.
Наиболее серьезной из устраненных проблем является уязвимость средней степени опасности CVE-2025-59775. Она затрагивает исключительно серверы, работающие под управлением операционной системы Windows. При определенных настройках, а именно с включенным параметром "AllowEncodedSlashes" и отключенным "MergeSlashes", существует риск утечки хэшей аутентификации NTLM. Это может произойти в результате успешной атаки типа Server-Side Request Forgery (SSRF, подделка межсайтовых запросов), когда сервер выполняет запросы к контролируемому злоумышленником ресурсу. Обнаружил эту уязвимость исследователь Orange Tsai из компании DEVCORE.
Вторая уязвимость, оцененная как умеренная, зарегистрирована под номером CVE-2025-66200. Она связана с модулями "mod_userdir" и "suexec". В определенных конфигурациях пользователи, имеющие возможность применять директиву "RequestHeader" в файлах ".htaccess", могут обойти механизмы "suexec". В результате сценарии CGI могут запускаться от имени непредусмотренного пользователя, что нарушает политику разграничения прав. Эта проблема была выявлена Мэттиасом Осандером из Университета Умео.
Также исследователь обнаружил еще одну проблему, CVE-2025-65082, классифицированную как низкорисковая. Она позволяет переменным среды, заданным в конфигурации Apache, неожиданно переопределять переменные, вычисляемые сервером для CGI-программ. Это может привести к непредсказуемому поведению скриптов.
Еще одна низкоуровневая уязвимость, CVE-2025-58098, касается модуля Server Side Includes (SSI). В версиях до 2.4.66, при использовании "mod_cgid" (но не "mod_cgi"), эскейпированная строка запроса передавалась в директивы "#exec cmd="..."". Это могло создавать нежелательные побочные эффекты при обработке SSI. Ответственным за находку стал Энтони Парфенов из United Rentals, Inc.
Первой по времени обнаружения в этом пакете стала уязвимость CVE-2025-55753 в модуле "mod_md", отвечающем за автоматическое получение SSL/TLS-сертификатов по протоколу ACME. В случае многократных неудачных попыток обновления сертификата возникало целочисленное переполнение. Оно приводило к сбросу таймера повтора, и сервер начинал бесконечно пытаться получить сертификат без задержек. В стандартной конфигурации для проявления этой ошибки требовался период около 30 дней непрерывных сбоев.
Все уязвимости были оперативно переданы в security-команду Apache в период с августа по ноябрь 2025 года. Фонд координировал исправление и выпустил единый патч 4 декабря. Стоит отметить, что для эксплуатации большинства из этих недостатков требуются специфические, нестандартные настройки сервера или доступ к файлам конфигурации. Однако угроза утечки NTLM-хэшей на Windows-системах является наиболее актуальной, так как эти данные могут быть использованы для последующих атак, например, перебора или Pass-the-Hash.
Актуальность своевременного обновления веб-серверов сложно переоценить. Apache HTTP Server остается одним из самых распространенных решений в интернете. Следовательно, любая известная уязвимость в нем привлекает внимание как исследователей, так и злоумышленников. Регулярное применение патчей является базовым элементом стратегии защиты. Помимо апгрейда до версии 2.4.66, администраторам стоит проверить свои конфигурации на наличие небезопасных параметров, упомянутых в бюллетенях, особенно на системах Windows.
Ссылки
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://www.govcert.gov.hk/en/alerts_detail.php?id=1697
- https://www.hkcert.org/security-bulletin/apache-http-server-multiple-vulnerabilities_20251205
