Tinklaraštis

Apache HTTP Server 2.4.68: trylika CVE vienu pataisymu — atnaujinkite dabar

CVE_Apache_2_4_68
Apache / CVE / Linux / Saugumas

Apache HTTP Server 2.4.68: trylika CVE vienu pataisymu — atnaujinkite dabar

sysadmin
2026 10 birželio
0 comments

2026 m. birželio 8 d. Apache Software Foundation išleido Apache HTTP Server 2.4.68, pašalindama 13 pažeidžiamumų iš karto — use-after-free, buferio perpildymai, XSS, HTTP/2 paslaugų atsisakymas, privilegijų eskalavimas per .htaccess ir išėjimas už buferio skaitymo ribų. Paveiktos visos versijos nuo 2.4.0 iki 2.4.67 imtinai. Daugumai šių problemų sprendimų nėra — tik atnaujinimas jas pašalina.

Trylika CVE viename leidime — tai ne įprasta situacija. Tai reiškia, kad keli nepriklausomi tyrėjai tuo pat metu dirbo su ta pačia kodo baze ir koordinuotai atskleidė rezultatus. Ypač iškalbinga detalė: CVE-2026-44119 (privilegijų eskalavimas per .htaccess) atrado net 10 nepriklausomų tyrėjų vienu metu. Kai tą pačią problemą randa dešimt žmonių vienu metu, tikimybė, kad vienuoliktasis ją rado anksčiau ir tylėjo, yra gana reali.

KAS NUTIKO

Du use-after-free pažeidžiamumai. CVE-2026-29167 mod_ldap modulyje naudojant per-directory konfigūraciją — kabantis rodiklis (dangling pointer) aktyvuojamas versijose 2.4.0–2.4.67, atrastas Pavel Kohout iš Aisle Research. CVE-2026-48913 mod_http2 modulyje suveikia kai failų aprašikliai jau išnaudoti — paveikia siauresnį diapazoną 2.4.55–2.4.67, pranešė Sam Lovejoy iš IBM X-Force Offensive Research. Abu kelia atminties korupcijos ir nenuspėjamo proceso elgesio riziką.

Privilegijų eskalavimas per .htaccess — CVE-2026-44119 (vidutinis pavojingumas). Pažeidžiamumas išraiškų apdorojimo mechanizme (ap_expr) keliuose moduliuose leidžia vietiniams .htaccess failų autoriams skaityti bet kuriuos failus su httpd vartotojo teisėmis. Praktiškai tai reiškia: jei užpuolikas gali sukurti ar modifikuoti .htaccess — per pažeistą žiniatinklio programą, hostingo valdymo skydelį ar bet kurį kitą vektorių — jis gali naudoti specialiai suformuotas išraiškas ir pasiekti Apache proceso skaitomus failus. Bendro naudojimo hostingo serveryje tai potencialiai reiškia prieigą prie kitų klientų konfigūracijos failų ir programų paslapčių.

HTTP/2 paslaugų atsisakymas — CVE-2026-49975 (vidutinis). Kenksmingos HTTP/2 užklausos sukelia neribotą atminties paskirstymą mod_http2 modulyje, kuris esant pakankamam intensyvumui išeikvoja atmintį ir sugriauna serverį. Paveikia versijas 2.4.17–2.4.67 — tai yra viską, kas veikia su HTTP/2. Pažeidžiamumą atrado Quang Luong iš Calif.IO bendradarbiaudamas su OpenAI Codex.

Keturi buferio perpildymai. CVE-2026-34355 (vidutinis) mod_proxy_html modulyje — išnaudojamas nepatikimo backend serverio, atvirkštinio tarpinio serverio (reverse proxy) scenarijuje kenksmingas backend atsakas gali sugadinti Apache proceso atmintį. CVE-2026-34356 (žemas) — heap overflow ProxyPassReverseCookieMap per kenksmingus backend atsakus. CVE-2026-42536 (žemas) — heap overflow mod_xml2enc modulyje apdorojant nepatikimą turinį. CVE-2026-44631 (žemas) — heap underwrite funkcijoje ap_regname dėl signed char perpildymo specialiai sukurtose reguliariųjų išraiškų konfigūracijose.

Dar penki pataisymai užbaigia paveikslą. CVE-2026-29170 (žemas) — XSS mod_proxy_ftp modulyje generuojant FTP katalogų HTML sąrašus: kai Apache proxijuoja FTP turinį, neišvalyta išvestis leidžia skriptų injekciją į vartotojo naršyklę. CVE-2026-43951 (vidutinis) — išėjimas už buferio skaitymo ribų funkcijoje merge_response_headers apdorojant kelis atsakymo kalbų variantus — sukelia vaikinio proceso avariją ir laikiną paslaugų sutrikimą. CVE-2026-42535 (vidutinis) — kelio apdorojimo klaida mod_dav_fs modulyje: WebDAV autoriai gali tiesiogiai manipuliuoti patikimomis DAV savybių duomenų bazėmis, kas ypač pavojinga serveriuose su kelių vartotojų WebDAV prieiga. CVE-2026-44185 (žemas) — steko buferio perrašymas mod_ssl OCSP tvarkyklėje per užpuoliko valdomus OCSP serverius. CVE-2026-44186 (vidutinis) — begalinė kilpa mod_proxy_ftp tvarkyklėje: jei Apache proxijuoja FTP serverį, kurį valdo užpuolikas, šis gali sustabdyti proceso tvarkytuvą tyčia neteisingais atsakais.

KODĖL TAI SVARBU

Apache vis dar aptarnauja didžiulę žiniatinklio infrastruktūros dalį, ypač bendro naudojimo hostinge ir korporatyvinėse aplinkose. CVE-2026-44119 šiame kontekste ypač opus: įrašymo prieiga prie svetainės katalogo pasiekiama per daugybę vektorių tipiniame bendro naudojimo hostingo serveryje — pažeista žiniatinklio programa, pažeisti FTP prisijungimo duomenys, valdymo skydelio pažeidžiamumas. Gavęs galimybę rašyti .htaccess failą, užpuolikas naudoja specialiai suformuotas išraiškas skaitydamas Apache proceso failus — o tai tipiniame hostingo serveryje gali reikšti kitų klientų konfigūracijos failus ir programų paslaptis.

CVE-2026-49975 aktualus bet kuriam viešai prieinamam Apache su įjungtu HTTP/2 — o tai yra dauguma šiuolaikinių konfigūracijų. Ataka nereikalauja autentifikacijos: pakanka siųsti specialiai sukurtas HTTP/2 užklausas, kurios provokuoja neribotą atminties paskirstymą. Esant pakankamam srautui tai sukelia OOM ir serverio avariją — klasikinis DoS be jokių išnaudojimų.

Du use-after-free pažeidžiamumai, nors ir žemo pavojingumo, kelia riziką atakų grandinėse. Use-after-free mod_ldap modulyje per-directory konfigūracijoje gali būti nestabilus, tačiau nenuspėjamas proceso elgesys žiniatinklio serveryje yra būtent tai, ką atidus tyrėjas toliau studijuos. Buferio perpildymai proxy moduliuose pavojingi aplinkose su nepatikimais backend serveriais — reverse proxy prieš senesnę programą, proxy į partnerių API, bet koks scenarijus, kur Apache stovi tarp jūsų infrastruktūros ir kažko nekontroliuojamo.

KĄ DARYTI

Atnaujinkite Apache iki versijos 2.4.68 — tai vienintelis būdas pašalinti daugumą šių pažeidžiamumų, sprendimų nėra. Debian ir Ubuntu sistemose paketas vadinasi apache2 — komanda apt update sinchronizuoja paketų sąrašus, apt install apache2 įdiegs naujausią versiją:

sudo apt update && sudo apt install apache2

RHEL, CentOS ir Fedora sistemose paketas vadinasi httpd. Po atnaujinimo reikia aiškiai paleisti paslaugą iš naujo ir patikrinti versiją — httpd -v išvestyje turėtų būti eilutė Server version: Apache/2.4.68:

sudo dnf update httpd
sudo systemctl restart httpd
httpd -v

Debian ir Ubuntu sistemose patikrinkite, kad Apache sėkmingai paleistas iš naujo — systemctl status apache2 turėtų rodyti active (running). Tada įsitikinkite, kad įdiegta aktuali versija — komanda apache2 -v išveda binarinio failo versiją, išvestyje turėtų būti eilutė Server version: Apache/2.4.68:

sudo systemctl status apache2
apache2 -v

Svarbi pastaba: distribucijos kartais atgaline data perkelia saugumo pataisymus į senesnes versijas nekeičiant Apache versijos numerio. Jei apache2 -v rodo senesnę versiją, tačiau paketas buvo neseniai atnaujintas — patikrinkite distribucijos changelog: 2.4.68 pataisymai gali jau būti įtraukti. Komanda apt-cache policy apache2 parodo, kas įdiegta ir kas prieinama repozitorijoje, leidžiant patikrinti kompiliavimo datą:

apt-cache policy apache2

Jei negalima nedelsiant atnaujinti, sumažinkite riziką išjungdami nenaudojamus modulius. Jei mod_ldap su per-directory LDAP autentifikacija nenaudojamas — išjunkite. Jei mod_proxy_ftp nereikalingas — išjunkite. Jei HTTP/2 nereikalingas jūsų serveryje, mod_http2 išjungimas pašalina CVE-2026-49975 DoS vektorių. Tai nėra pataisymo pakaitalas, tačiau laikinai susiaurina atakos paviršių:

sudo a2dismod ldap authnz_ldap
sudo a2dismod proxy_ftp
sudo a2dismod http2
sudo systemctl restart apache2

Atkreipkite dėmesį: a2dismod — tai Debian/Ubuntu įrankis. RHEL tipo sistemose moduliai išjungiami komentuojant LoadModule direktyvas failuose /etc/httpd/conf.modules.d/ ir paleidžiant paslaugą iš naujo.

IŠVADOS

Apache 2.4.68 — privalomas atnaujinimas. Trylika CVE, įskaitant privilegijų eskalavimą per .htaccess ir neautentifikuotą HTTP/2 DoS, nepalieka vietos delsimui. Visos versijos nuo 2.4.0 iki 2.4.67 pažeidžiamos keliais vektoriais vienu metu.

Prioritetai skiriasi priklausomai nuo aplinkos. Bendro naudojimo hostingo teikėjai pirmiausia turi pašalinti CVE-2026-44119 — tai tiesioginė rizika visiems serverio klientams. Viešai prieinami serveriai su HTTP/2 turėtų laikyti CVE-2026-49975 skubiausia problema — neautentifikuotas DoS be jokių sprendimų. Reverse proxy prieš nepatikimus backend serverius — proxy modulių pažeidžiamumai. Tačiau sąžiningas atsakas visiems yra tas pats: atnaujinkite iki Apache 2.4.68.

, , , , , , , ,

Leave your thought here

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

Address

Lithuania, Visaginas
...
[email protected]

Explore

Blog
Courses
About
Buy me a coffee

Information

Membership
Purchase guide
Privatumo politika
Naudojimosi sąlygos
Slapukų politika

© 2025 Sysadmin Courses. All Rights Reserved

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Kaina
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare