Популярный веб-сервер Apache HTTP Server получил масштабное обновление безопасности. Четвертого мая 2026 года разработчики выпустили версию 2.4.67, которая закрывает сразу одиннадцать уязвимостей. Некоторые из них позволяют злоумышленнику удаленно выполнить произвольный код, повысить свои привилегии на сервере или вызвать отказ в обслуживании. Это означает, что под угрозой оказались миллионы веб-сайтов по всему миру, работающих на устаревших версиях сервера.
Детали уязвимостей
Согласно бюллетеню безопасности Apache Software Foundation, все уязвимости затрагивают версии вплоть до 2.4.66 включительно. Наиболее опасными признаны три проблемы, получившие идентификаторы CVE (Common Vulnerabilities and Exposures) - международная система обозначений для публично известных уязвимостей.
Первая из них, CVE-2026-23918, связана с двойным освобождением памяти в реализации протокола HTTP/2. Если клиент отправляет запрос и сразу отменяет его, сервер может дважды освободить один и тот же участок памяти. Это создает состояние гонки, которое в ряде случаев позволяет удаленно выполнить произвольный код. Для эксплуатации достаточно отправить специально сформированный пакет, что делает эту уязвимость крайне опасной для публичных серверов.
Вторая критическая проблема, CVE-2026-28780, обнаружена в модуле mod_proxy_ajp, который обеспечивает взаимодействие с серверами приложений через протокол AJP. Если mod_proxy_ajp подключен к вредоносному AJP-серверу, последний может отправить обратно сообщение, вызывающее переполнение буфера в куче. В результате атакующий получает возможность записать четыре байта за пределы выделенной области и, потенциально, изменить ход выполнения программы. Учитывая, что AJP часто используется в корпоративных инфраструктурах, риск компрометации внутренних систем возрастает.
Третья уязвимость, CVE-2026-24072, касается модуля mod_rewrite и функций повышения привилегий. Автор файла .htaccess может использовать специальную конструкцию для чтения любых файлов на сервере с правами пользователя, от которого работает httpd. Иными словами, если злоумышленник уже имеет возможность создать или изменить .htaccess (например, через взломанный сайт на виртуальном хостинге), он сможет получить доступ к конфиденциальным данным, включая пароли или ключи шифрования.
Помимо этих трех критических, исправлены еще восемь уязвимостей, которые тоже заслуживают внимания. В модуле mod_proxy_ajp найдено сразу несколько проблем с чтением за границами буфера (CVE-2026-33857, CVE-2026-34032, CVE-2026-34059). Они позволяют вредоносному AJP-серверу извлекать фрагменты оперативной памяти сервера и, следовательно, получать потенциально чувствительную информацию. Еще одна ошибка в этом же модуле - CVE-2026-33523 - даёт возможность провести атаку через расщепление HTTP-ответа (HTTP splitting), если сервер перенаправляет данные от скомпрометированного бэкенда.
Уязвимость CVE-2026-29168 в модуле mod_md не накладывает ограничений на размер ответов протокола OCSP, используемого для проверки статуса сертификатов. Отправляя очень большие ответы, атакующий может исчерпать ресурсы сервера и вызвать отказ в обслуживании. Два раза встречается ошибка разыменования нулевого указателя: в mod_dav_lock (CVE-2026-29169) и mod_authn_socache (CVE-2026-33007). Первая позволяет крашнуть сервер специальным запросом, вторая - аварийно завершить дочерний процесс в конфигурации кэширующего прокси. Кроме того, CVE-2026-33006 в mod_auth_digest делает возможной атаку по времени (timing attack), которая позволяет обойти дайджест-аутентификацию, не зная пароля.
Для всех перечисленных уязвимостей разработчики рекомендуют как можно скорее обновить сервер до версии 2.4.67. Патчи не требуют замены операционной системы или дополнительных настроек - достаточно скачать новую версию с официального сайта Apache и перезапустить службу.
Последствия промедления могут быть серьёзными. Успешная эксплуатация CVE-2026-23918 или CVE-2026-28780 даёт злоумышленнику полный контроль над веб-сервером. А это, в свою очередь, может привести к краже базы данных пользователей, установке вредоносного кода на страницы сайта или использованию сервера как плацдарма для атак на внутреннюю сеть организации. Утечка конфиденциальных данных через уязвимости чтения памяти так же представляет прямую угрозу для соответствия требованиям регуляторов, особенно в финансовом и медицинском секторах.
Специалистам по информационной безопасности стоит немедленно провести инвентаризацию всех экземпляров Apache HTTP Server в своей инфраструктуре. Если среди них есть версии ниже 2.4.67, их необходимо обновить в первую очередь. Также следует проверить, не используются ли модули mod_proxy_ajp или mod_md в конфигурациях, которые могут быть доступны из ненадёжных сетей. Если обновление невозможно по техническим причинам, в качестве временной меры можно отключить уязвимые модули или ограничить доступ к ним с помощью межсетевого экрана.
Обратите внимание: описание CVE-2026-29169 в официальном бюллетене содержит опечатку - рекомендуемая версия указана как 2.4.66, однако на самом деле исправление входит в ту же сборку 2.4.67.
Подводя итог, можно сказать, что выпуск Apache HTTP Server 2.4.67 - одно из самых значимых событий в мире веб-серверов за последнее время. Масштаб проблем говорит о том, что даже зрелые проекты с многолетней историей не застрахованы от накопления технического долга. Регулярное обновление программного обеспечения остаётся главной мерой защиты, и этот случай - ещё одно тому подтверждение.
Ссылки
- https://downloads.apache.org/httpd/CHANGES_2.4.67
- https://www.cve.org/CVERecord?id=CVE-2026-34059
- https://www.cve.org/CVERecord?id=CVE-2026-34032
- https://www.cve.org/CVERecord?id=CVE-2026-33857
- https://www.cve.org/CVERecord?id=CVE-2026-33523
- https://www.cve.org/CVERecord?id=CVE-2026-33007
- https://www.cve.org/CVERecord?id=CVE-2026-33006
- https://www.cve.org/CVERecord?id=CVE-2026-29169
- https://www.cve.org/CVERecord?id=CVE-2026-29168
- https://www.cve.org/CVERecord?id=CVE-2026-28780
- https://www.cve.org/CVERecord?id=CVE-2026-24072
- https://www.cve.org/CVERecord?id=CVE-2026-23918
