В Банк данных угроз безопасности информации (BDU) были внесены записи о двух крайне опасных дефектах в коде популярнейшего веб-сервера Apache HTTP Server. Обе уязвимости получили максимальные оценки опасности по шкале CVSS. Это означает, что любая атака с их использованием практически гарантированно приведет к полной компрометации сервера. Под ударом оказались миллионы сайтов по всему миру, работающих на версиях Apache до 2.4.67 включительно.
Детали уязвимостей
Первая уязвимость, зарегистрированная под идентификатором BDU:2026-06407 (международный номер CVE-2026-28780), связана с переполнением буфера в динамической памяти модуля mod_proxy_ajp. Этот модуль отвечает за связь веб-сервера с бэкенд-серверами приложений по протоколу AJP (Apache JServ Protocol). Грубо говоря, это шлюз, через который Apache передаёт запросы на обработку более сложным программам, например, написанным на Java или Python. Ошибка в коде позволяет злоумышленнику, отправляя специально сформированный HTTP-запрос, вызвать запись данных за пределами выделенного буфера. Как следствие, атакующий может добиться отказа в обслуживании или, что гораздо опаснее, выполнить произвольный код на сервере. Важно отметить, что на момент публикации данные об эксплуатации этой ошибки уже находятся в открытом доступе.
Вторая уязвимость, BDU:2026-06409 (CVE-2026-29168), затрагивает модуль mod_md, который используется для автоматического управления сертификатами TLS (протокол шифрования трафика) от центров сертификации, таких как Let's Encrypt. Ошибка заключается в разыменовании нулевого указателя. Простыми словами, программа пытается обратиться к несуществующей области памяти, что приводит к её аварийному завершению. Это тоже вызывает отказ в обслуживании, но, в отличие от первой уязвимости, сценарий полного захвата управления здесь менее вероятен, хотя и не исключён. Весьма показательно, что производитель подтвердил наличие обеих уязвимостей и уже выпустил исправления в новой версии сервера.
Обе проблемы объединяет не только высокий балл по шкале CVSS 3.1 - 9,8 из 10, но и тот факт, что для их эксплуатации не требуется предварительная аутентификация. Нарушителю достаточно отправить сетевой пакет на уязвимый сервер. Это делает атаку доступной для любого, у кого есть доступ к сети, будь то интернет или внутренняя корпоративная инфраструктура. Тип ошибки классифицируется как уязвимость кода, то есть проблема кроется непосредственно в логике работы программы, а не в её конфигурации. Это означает, что единственный надёжный способ защиты - установка обновления.
Каковы же практические последствия для администраторов и владельцев бизнеса? Прежде всего, необходимо понимать, что Apache HTTP Server остаётся самым распространённым веб-сервером в мире. Согласно данным статистики, он обслуживает около трети всех активных сайтов. Следовательно, зона поражения колоссальна. В зоне риска находятся не только крупные корпоративные порталы, но и небольшие интернет-магазины, форумы, а также внутренние системы компаний, использующие Apache в качестве обратного прокси или балансировщика нагрузки. В случае атаки злоумышленник может не только парализовать работу сайта (отказ в обслуживании), но и получить доступ к конфиденциальным данным, включая базы данных пользователей, файлы конфигурации и ключи шифрования.
Особенно тревожной ситуацию делает наличие публичного эксплойта для первой уязвимости. В мире информационной безопасности это означает, что любой, даже не очень опытный злоумышленник, может скачать готовый инструмент для атаки. Для второй уязвимости данные об эксплойте пока уточняются, но это не повод расслабляться. История показывает, что после раскрытия таких критических ошибок появление рабочего кода для атаки - лишь вопрос времени. Следовательно, действовать нужно незамедлительно.
Меры по устранению уже известны. Производитель, Apache Software Foundation, разместил все патчи на своём официальном портале. Администраторам следует в кратчайшие сроки обновить веб-сервер до актуальной версии, в которой эти ошибки исправлены. В качестве временного решения, до установки обновления, можно отключить уязвимые модули, если их использование не является критически важным. Однако такой подход чреват нарушением работы сервера. Поэтому самым надёжным шагом остаётся именно установка заплатки.
Ссылки
- https://bdu.fstec.ru/vul/2026-06407
- https://bdu.fstec.ru/vul/2026-06409
- https://www.cve.org/CVERecord?id=CVE-2026-28780
- https://www.cve.org/CVERecord?id=CVE-2026-29168
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://thecybersecguru.com/news/apache-rce-vulnerability-cve-2026-23918/
