Фонд Apache выпустил обновление своего популярного веб-сервера - версию 2.4.68. Этот патч закрывает целый ряд уязвимостей, накопленных в версиях от 2.4.0 до 2.4.67. Проблемы затрагивают как основные модули, так и широко используемые расширения. Среди исправленных ошибок - повреждения памяти, отказы в обслуживании, повышение привилегий и ошибки проверки входных данных. Хотя несколько уязвимостей классифицируются как низкорисковые, наличие нескольких умеренных, особенно тех, что приводят к аварийным завершениям и чтению за пределами границ, делает это обновление критически важным для корпоративных сред.
Дело в том, что Apache HTTP Server остаётся основой для миллионов интернет-сайтов, обратных прокси-серверов и облачных веб-служб. Любая брешь в его защите может привести к серьёзным последствиям: от простоя до утечки данных. Поэтому выпуск 2.4.68 - не просто плановое обновление, а обязательная мера для всех, кто держит этот сервер в публичной сети.
Ключевые исправленные уязвимости
Одной из главных новостей стала ликвидация повреждений памяти в модулях "mod_proxy_html", "mod_xml2enc" и "mod_http2". Эти уязвимости могли быть активированы вредоносными ответами от внутренних серверов или специально сформированными запросами клиентов. Например, атакующие, контролирующие внутреннюю службу или эксплуатирующие конфигурацию обратного прокси, могли использовать переполнение буфера (CVE-2026-34355, CVE-2026-34356) для дестабилизации сервера или, в ограниченных сценариях, для выполнения произвольного кода.
Не менее опасна проблема отказа в обслуживании в модуле "mod_http2" (CVE-2026-49975). Она позволяет злоумышленнику исчерпать память сервера через чрезмерно большие выделения ресурсов. Для высоконагруженных сайтов, использующих протокол HTTP/2, это прямой путь к полной недоступности.
Кроме того, исправлены уязвимости, связанные с повышением привилегий и обходом контроля доступа. Уязвимость CVE-2026-44119 позволяла локальным пользователям получить доступ к ограниченным ресурсам с повышенными правами из-за некорректной обработки выражений в файлах ".htaccess". Другая проблема, CVE-2026-42535, затрагивает модуль "mod_dav_fs": манипуляции с хранилищем свойств WebDAV (протокол для совместного редактирования файлов на сервере) могут вызывать аварийные завершения процессов, что особенно критично для сред совместной работы.
Другие исправления: от протоколов до мелочей
Список обновлений не ограничивается перечисленным. Среди прочих уязвимостей - чтение за пределами границ в логике объединения заголовков (CVE-2026-43951), бесконечные циклы в модуле "mod_proxy_ftp" (CVE-2026-44186) и межсайтовый скриптинг в списках каталогов FTP (CVE-2026-29170). Даже менее опасные проблемы, такие как использование после освобождения (CVE-2026-29167, CVE-2026-48913) и недополнение кучи (CVE-2026-44631), могут расширить поверхность атаки, особенно в сочетании с другими слабостями.
Важно понимать, что каждая из этих уязвимостей, взятая по отдельности, может показаться незначительной. Но для целостной инфраструктуры их совокупность превращается в серьёзную угрозу. Особенно это касается тех случаев, когда Apache используется как обратный прокси-сервер или включён в цепочку взаимодействия с ненадёжными внутренними сервисами.
Кому и почему нужно обновляться немедленно
С точки зрения разведки угроз вероятность эксплуатации сильно зависит от контекста. Самые рискованные сценарии включают использование обратных прокси, интеграцию с ненадёжными внутренними серверами, включённый WebDAV и поддержку HTTP/2. Организации, которые выставляют Apache напрямую в интернет или взаимодействуют с динамическими внешними источниками, должны обновить сервер в первую очередь. Администраторам безопасности стоит провести аудит включённых модулей, ограничить границы доверия к внутренним серверам и настроить мониторинг аномального трафика, нацеленного на обработку HTTP и поведение прокси.
Сам релиз состоялся восьмого июня 2026 года, а исправления были зафиксированы в репозитории несколькими днями ранее. Разработчики поблагодарили за координацию раскрытия уязвимостей исследователей из depthfirst, Aisle Research и IBM X-Force. Это говорит о том, что проблемы выявлялись в рамках ответственного раскрытия, что дало время на подготовку патча.
Что делать прямо сейчас
Если в вашей организации используется Apache HTTP Server версии ниже 2.4.68, обновление должно стать задачей с высшим приоритетом. Обратите внимание на конфигурацию: если у вас включены модули "mod_proxy", "mod_http2" или "mod_dav_fs", риск особенно высок. Временно отключить неиспользуемые модули - тоже разумная мера, пока обновление не будет установлено. Кроме того, стоит проверить, нет ли подозрительной активности в журналах доступа и ошибок, особенно необычных запросов к прокси или HTTP/2.
Этот патч - напоминание о том, что даже зрелые и стабильные продукты, такие как Apache, требуют постоянного внимания. Мир угроз не стоит на месте, и своевременная установка исправлений остаётся самым надёжным способом защиты.
Ссылки
