Проект Apache HTTP Server выпустил корректирующий релиз httpd 2.4.67, в котором устранена уязвимость CVE-2026-23918 в реализации HTTP/2. Проблема получила уровень важности important и связана с ошибкой класса double free при обработке сценария раннего сброса соединения в HTTP/2. В неблагоприятных условиях ошибка может привести не только к аварийному завершению рабочего процесса, но и к потенциальному удалённому выполнению кода.

Согласно описанию Apache, уязвимость затрагивает Apache HTTP Server 2.4.66. Пользователям этой версии рекомендуется обновиться до 2.4.67, где проблема исправлена. В качестве обнаруживших уязвимость указаны Bartlomiej Dmitruk из striga.ai и Stanislaw Strzalkowski из isec.pl.

В changelog релиза также отмечено обновление mod_http2 до версии 2.0.37, где предотвращён повторный purge потока, приводивший к double free, а затем до 2.0.38 и 2.0.39. Помимо CVE-2026-23918, выпуск закрывает ряд других проблем безопасности в mod_proxy_ajp, mod_auth_digest, mod_authn_socache, mod_md, mod_rewrite и других компонентах.

Релиз Apache httpd 2.4.67 опубликован 4 мая 2026 года и объявлен текущей рекомендуемой версией стабильной ветки 2.4.x. Для администраторов, использующих Apache с включённым HTTP/2, обновление стоит рассматривать как приоритетное, особенно если в эксплуатации уже находится 2.4.66.

>>> Официальная страница (apache.org)

Вышла следующая версия замечательного веб-сервера nginx. Несмотря на то, что релиз имеет статус «разрабатываемого», в новой версии исправлено заметное (по меркам этого проекта) количество ошибок, которые носят некритический характер и проявляются только при достижении определенных граничных условий.

( читать дальше... )

>>> Подробности (nginx.org)

Разработчики популярного HTTP-сервера Apache представили новую версию своего продукта - 2.2.18, в которой кроме минорых улучшений, а также изменения алгоритма по умолчанию для htpasswd на MD5, была исправлена серьезная угроза безопасности, приводившая к отказу в обслуживании (DoS).

Баг скрывался в библиотеке Apache Portable Runtime, конкретнее - в функции apr_fnmatch(), в которой могло быть запущено рекурсивное сравнение строк, что приводило к сильной загрузке процессора и потреблению оперативной памяти. Поэтому данная атака быстрее реализуется в системах с активированным mod_autoindex для индексирования каталогов, особенно если в них имеются файлы с длинными именами.

Если вы не можете обновить у себя версию сервера, то предлагается задействовать опцию «IgnoreClient» внутри «IndexOptions», что предотвратит обработку полученных от клиента аргументов и нейтрализует действие атаки.

Apache Portable Runtime является прикладной библиотекой, реализующей удобный интерфейс к взаимодействию с различными операционными системами. Из-за этого APR широко используется в других проектах Apache, а также во многих сторонних разработках. Поэтому указанная уязвимость распространяется не только на Apache HTTP Server, но и на совершенно другие приложения. Если вы как разработчик используете APR, то вам необходимо обновить версию библиотеки до 1.4.4.

>>> Подробности (apache.org)