2026 m. bir\u017eelio 8 d. Apache Software Foundation i\u0161leido Apache HTTP Server 2.4.68, pa\u0161alindama 13 pa\u017eeid\u017eiamum\u0173 i\u0161 karto \u2014 use-after-free, buferio perpildymai, XSS, HTTP\/2 paslaug\u0173 atsisakymas, privilegij\u0173 eskalavimas per .htaccess ir i\u0161\u0117jimas u\u017e buferio skaitymo rib\u0173. Paveiktos visos versijos nuo 2.4.0 iki 2.4.67 imtinai. Daugumai \u0161i\u0173 problem\u0173 sprendim\u0173 n\u0117ra \u2014 tik atnaujinimas jas pa\u0161alina.<\/p>\n\n\n\n
Trylika CVE viename leidime \u2014 tai ne \u012fprasta situacija. Tai rei\u0161kia, kad keli nepriklausomi tyr\u0117jai tuo pat metu dirbo su ta pa\u010dia kodo baze ir koordinuotai atskleid\u0117 rezultatus. Ypa\u010d i\u0161kalbinga detal\u0117: CVE-2026-44119 (privilegij\u0173 eskalavimas per .htaccess) atrado net 10 nepriklausom\u0173 tyr\u0117j\u0173 vienu metu. Kai t\u0105 pa\u010di\u0105 problem\u0105 randa de\u0161imt \u017emoni\u0173 vienu metu, tikimyb\u0117, kad vienuoliktasis j\u0105 rado anks\u010diau ir tyl\u0117jo, yra gana reali.<\/p>\n\n\n\n
KAS NUTIKO<\/strong><\/p>\n\n\n\n Du use-after-free pa\u017eeid\u017eiamumai. CVE-2026-29167 Privilegij\u0173 eskalavimas per .htaccess \u2014 CVE-2026-44119 (vidutinis pavojingumas). Pa\u017eeid\u017eiamumas i\u0161rai\u0161k\u0173 apdorojimo mechanizme ( HTTP\/2 paslaug\u0173 atsisakymas \u2014 CVE-2026-49975 (vidutinis). Kenksmingos HTTP\/2 u\u017eklausos sukelia neribot\u0105 atminties paskirstym\u0105 Keturi buferio perpildymai. CVE-2026-34355 (vidutinis) Dar penki pataisymai u\u017ebaigia paveiksl\u0105. CVE-2026-29170 (\u017eemas) \u2014 XSS KOD\u0116L TAI SVARBU<\/strong><\/p>\n\n\n\n Apache vis dar aptarnauja did\u017eiul\u0119 \u017einiatinklio infrastrukt\u016bros dal\u012f, ypa\u010d bendro naudojimo hostinge ir korporatyvin\u0117se aplinkose. CVE-2026-44119 \u0161iame kontekste ypa\u010d opus: \u012fra\u0161ymo prieiga prie svetain\u0117s katalogo pasiekiama per daugyb\u0119 vektori\u0173 tipiniame bendro naudojimo hostingo serveryje \u2014 pa\u017eeista \u017einiatinklio programa, pa\u017eeisti FTP prisijungimo duomenys, valdymo skydelio pa\u017eeid\u017eiamumas. Gav\u0119s galimyb\u0119 ra\u0161yti .htaccess fail\u0105, u\u017epuolikas naudoja specialiai suformuotas i\u0161rai\u0161kas skaitydamas Apache proceso failus \u2014 o tai tipiniame hostingo serveryje gali reik\u0161ti kit\u0173 klient\u0173 konfig\u016bracijos failus ir program\u0173 paslaptis.<\/p>\n\n\n\n CVE-2026-49975 aktualus bet kuriam vie\u0161ai prieinamam Apache su \u012fjungtu HTTP\/2 \u2014 o tai yra dauguma \u0161iuolaikini\u0173 konfig\u016bracij\u0173. Ataka nereikalauja autentifikacijos: pakanka si\u0173sti specialiai sukurtas HTTP\/2 u\u017eklausas, kurios provokuoja neribot\u0105 atminties paskirstym\u0105. Esant pakankamam srautui tai sukelia OOM ir serverio avarij\u0105 \u2014 klasikinis DoS be joki\u0173 i\u0161naudojim\u0173.<\/p>\n\n\n\n Du use-after-free pa\u017eeid\u017eiamumai, nors ir \u017eemo pavojingumo, kelia rizik\u0105 atak\u0173 grandin\u0117se. Use-after-free K\u0104 DARYTI<\/strong><\/p>\n\n\n\n Atnaujinkite Apache iki versijos 2.4.68 \u2014 tai vienintelis b\u016bdas pa\u0161alinti daugum\u0105 \u0161i\u0173 pa\u017eeid\u017eiamum\u0173, sprendim\u0173 n\u0117ra. Debian ir Ubuntu sistemose paketas vadinasi RHEL, CentOS ir Fedora sistemose paketas vadinasi Debian ir Ubuntu sistemose patikrinkite, kad Apache s\u0117kmingai paleistas i\u0161 naujo \u2014 Svarbi pastaba: distribucijos kartais atgaline data perkelia saugumo pataisymus \u012f senesnes versijas nekei\u010diant Apache versijos numerio. Jei Jei negalima nedelsiant atnaujinti, suma\u017einkite rizik\u0105 i\u0161jungdami nenaudojamus modulius. Jei Atkreipkite d\u0117mes\u012f: I\u0160VADOS<\/strong><\/p>\n\n\n\n Apache 2.4.68 \u2014 privalomas atnaujinimas. Trylika CVE, \u012fskaitant privilegij\u0173 eskalavim\u0105 per .htaccess ir neautentifikuot\u0105 HTTP\/2 DoS, nepalieka vietos delsimui. Visos versijos nuo 2.4.0 iki 2.4.67 pa\u017eeid\u017eiamos keliais vektoriais vienu metu.<\/p>\n\n\n\n Prioritetai skiriasi priklausomai nuo aplinkos. Bendro naudojimo hostingo teik\u0117jai pirmiausia turi pa\u0161alinti CVE-2026-44119 \u2014 tai tiesiogin\u0117 rizika visiems serverio klientams. Vie\u0161ai prieinami serveriai su HTTP\/2 tur\u0117t\u0173 laikyti CVE-2026-49975 skubiausia problema \u2014 neautentifikuotas DoS be joki\u0173 sprendim\u0173. Reverse proxy prie\u0161 nepatikimus backend serverius \u2014 proxy moduli\u0173 pa\u017eeid\u017eiamumai. Ta\u010diau s\u0105\u017einingas atsakas visiems yra tas pats: atnaujinkite iki Apache 2.4.68.<\/p>\n","protected":false},"excerpt":{"rendered":" 2026 m. bir\u017eelio 8 d. Apache Software Foundation i\u0161leido Apache HTTP Server 2.4.68, pa\u0161alindama 13 pa\u017eeid\u017eiamum\u0173 i\u0161 karto \u2014 use-after-free, buferio perpildymai, XSS, HTTP\/2 paslaug\u0173 atsisakymas, privilegij\u0173 eskalavimas per .htaccess ir i\u0161\u0117jimas u\u017e buferio skaitymo rib\u0173. Paveiktos visos versijos nuo 2.4.0 iki 2.4.67 imtinai. Daugumai \u0161i\u0173 problem\u0173 sprendim\u0173 n\u0117ra \u2014 tik atnaujinimas jas pa\u0161alina. Trylika CVE viename leidime \u2014 tai ne \u012fprasta situacija. Tai rei\u0161kia, kad keli nepriklausomi tyr\u0117jai tuo pat metu dirbo su ta pa\u010dia kodo baze ir koordinuotai atskleid\u0117 rezultatus. Ypa\u010d i\u0161kalbinga detal\u0117: CVE-2026-44119 (privilegij\u0173 eskalavimas per .htaccess) atrado net 10 nepriklausom\u0173 tyr\u0117j\u0173 vienu metu. Kai t\u0105 pa\u010di\u0105 problem\u0105 randa de\u0161imt \u017emoni\u0173 vienu metu, tikimyb\u0117, kad vienuoliktasis j\u0105 rado anks\u010diau ir tyl\u0117jo, yra gana reali. KAS NUTIKO Du use-after-free pa\u017eeid\u017eiamumai. CVE-2026-29167 mod_ldap modulyje naudojant per-directory konfig\u016bracij\u0105 \u2014 kabantis rodiklis (dangling pointer) aktyvuojamas versijose 2.4.0\u20132.4.67, atrastas Pavel Kohout i\u0161 Aisle Research. CVE-2026-48913 mod_http2 modulyje suveikia kai fail\u0173 apra\u0161ikliai jau i\u0161naudoti \u2014 paveikia siauresn\u012f diapazon\u0105 2.4.55\u20132.4.67, prane\u0161\u0117 Sam Lovejoy i\u0161 IBM X-Force Offensive Research. Abu kelia atminties korupcijos ir nenusp\u0117jamo proceso elgesio rizik\u0105. Privilegij\u0173 eskalavimas per .htaccess \u2014 CVE-2026-44119 (vidutinis pavojingumas). Pa\u017eeid\u017eiamumas i\u0161rai\u0161k\u0173 apdorojimo mechanizme (ap_expr) keliuose moduliuose leid\u017eia vietiniams .htaccess fail\u0173 autoriams skaityti bet kuriuos failus su httpd vartotojo teis\u0117mis. Prakti\u0161kai tai rei\u0161kia: jei u\u017epuolikas gali sukurti ar modifikuoti .htaccess \u2014 per pa\u017eeist\u0105 \u017einiatinklio program\u0105, hostingo valdymo skydel\u012f ar bet kur\u012f kit\u0105 vektori\u0173 \u2014 jis gali naudoti specialiai suformuotas i\u0161rai\u0161kas ir pasiekti Apache proceso skaitomus failus. Bendro naudojimo hostingo serveryje tai potencialiai rei\u0161kia prieig\u0105 prie kit\u0173 klient\u0173 konfig\u016bracijos fail\u0173 ir program\u0173 paslap\u010di\u0173. HTTP\/2 paslaug\u0173 atsisakymas \u2014 CVE-2026-49975 (vidutinis). Kenksmingos HTTP\/2 u\u017eklausos sukelia neribot\u0105 atminties paskirstym\u0105 mod_http2 modulyje, kuris esant pakankamam intensyvumui i\u0161eikvoja atmint\u012f ir sugriauna server\u012f. Paveikia versijas 2.4.17\u20132.4.67 \u2014 tai yra visk\u0105, kas veikia su HTTP\/2. Pa\u017eeid\u017eiamum\u0105 atrado Quang Luong i\u0161 Calif.IO bendradarbiaudamas su OpenAI Codex. Keturi buferio perpildymai. CVE-2026-34355 (vidutinis) mod_proxy_html modulyje \u2014 i\u0161naudojamas nepatikimo backend serverio, atvirk\u0161tinio tarpinio serverio (reverse proxy) scenarijuje kenksmingas backend atsakas gali sugadinti Apache proceso atmint\u012f. CVE-2026-34356 (\u017eemas) \u2014 heap overflow ProxyPassReverseCookieMap per kenksmingus backend atsakus. CVE-2026-42536 (\u017eemas) \u2014 heap overflow mod_xml2enc modulyje apdorojant nepatikim\u0105 turin\u012f. CVE-2026-44631 (\u017eemas) \u2014 heap underwrite funkcijoje ap_regname d\u0117l signed char perpildymo specialiai sukurtose reguliari\u0173j\u0173 i\u0161rai\u0161k\u0173 konfig\u016bracijose. Dar penki pataisymai u\u017ebaigia paveiksl\u0105. CVE-2026-29170 (\u017eemas) \u2014 XSS mod_proxy_ftp modulyje generuojant FTP katalog\u0173 HTML s\u0105ra\u0161us: kai Apache proxijuoja FTP turin\u012f, nei\u0161valyta i\u0161vestis leid\u017eia skript\u0173 injekcij\u0105 \u012f vartotojo nar\u0161ykl\u0119. CVE-2026-43951 (vidutinis) \u2014 i\u0161\u0117jimas u\u017e buferio skaitymo rib\u0173 funkcijoje merge_response_headers apdorojant kelis atsakymo kalb\u0173 variantus \u2014 sukelia vaikinio proceso avarij\u0105 ir laikin\u0105 paslaug\u0173 sutrikim\u0105. CVE-2026-42535 (vidutinis) \u2014 kelio apdorojimo klaida mod_dav_fs modulyje: WebDAV autoriai gali tiesiogiai manipuliuoti patikimomis DAV savybi\u0173 duomen\u0173 baz\u0117mis, kas ypa\u010d pavojinga serveriuose su keli\u0173 vartotoj\u0173 WebDAV prieiga. CVE-2026-44185 (\u017eemas) \u2014 steko buferio perra\u0161ymas mod_ssl OCSP tvarkykl\u0117je per u\u017epuoliko valdomus OCSP serverius. CVE-2026-44186 (vidutinis) \u2014 begalin\u0117 kilpa mod_proxy_ftp tvarkykl\u0117je: jei Apache proxijuoja FTP server\u012f, kur\u012f valdo u\u017epuolikas, \u0161is gali sustabdyti proceso tvarkytuv\u0105 ty\u010dia neteisingais atsakais. KOD\u0116L TAI SVARBU Apache vis dar aptarnauja did\u017eiul\u0119 \u017einiatinklio infrastrukt\u016bros dal\u012f, ypa\u010d bendro naudojimo hostinge ir korporatyvin\u0117se aplinkose. CVE-2026-44119 \u0161iame kontekste ypa\u010d opus: \u012fra\u0161ymo prieiga prie svetain\u0117s katalogo pasiekiama per daugyb\u0119 vektori\u0173 tipiniame bendro naudojimo hostingo serveryje \u2014 pa\u017eeista \u017einiatinklio programa, pa\u017eeisti FTP prisijungimo duomenys, valdymo skydelio pa\u017eeid\u017eiamumas. Gav\u0119s galimyb\u0119 ra\u0161yti .htaccess fail\u0105, u\u017epuolikas naudoja specialiai suformuotas i\u0161rai\u0161kas skaitydamas Apache proceso failus \u2014 o tai tipiniame hostingo serveryje gali reik\u0161ti kit\u0173 klient\u0173 konfig\u016bracijos failus ir program\u0173 paslaptis. CVE-2026-49975 aktualus bet kuriam vie\u0161ai prieinamam Apache su \u012fjungtu HTTP\/2 \u2014 o tai yra dauguma \u0161iuolaikini\u0173 konfig\u016bracij\u0173. Ataka nereikalauja autentifikacijos: pakanka si\u0173sti specialiai sukurtas HTTP\/2 u\u017eklausas, kurios provokuoja neribot\u0105 atminties paskirstym\u0105. Esant pakankamam srautui tai sukelia OOM ir serverio avarij\u0105 \u2014 klasikinis DoS be joki\u0173 i\u0161naudojim\u0173. Du use-after-free pa\u017eeid\u017eiamumai, nors ir \u017eemo pavojingumo, kelia rizik\u0105 atak\u0173 grandin\u0117se. Use-after-free mod_ldap modulyje per-directory konfig\u016bracijoje gali b\u016bti nestabilus, ta\u010diau nenusp\u0117jamas proceso elgesys \u017einiatinklio serveryje yra b\u016btent tai, k\u0105 atidus tyr\u0117jas toliau studijuos. Buferio perpildymai proxy moduliuose pavojingi aplinkose su nepatikimais backend serveriais \u2014 reverse proxy prie\u0161 senesn\u0119 program\u0105, proxy \u012f partneri\u0173 API, bet koks scenarijus, kur Apache stovi tarp j\u016bs\u0173 infrastrukt\u016bros ir ka\u017eko nekontroliuojamo. K\u0104 DARYTI Atnaujinkite Apache iki versijos 2.4.68 \u2014 tai vienintelis b\u016bdas pa\u0161alinti daugum\u0105 \u0161i\u0173 pa\u017eeid\u017eiamum\u0173, sprendim\u0173 n\u0117ra. Debian ir Ubuntu sistemose paketas vadinasi apache2 \u2014 komanda apt update sinchronizuoja paket\u0173 s\u0105ra\u0161us, apt install apache2 \u012fdiegs naujausi\u0105 versij\u0105: RHEL, CentOS ir Fedora sistemose paketas vadinasi httpd. Po atnaujinimo reikia ai\u0161kiai paleisti paslaug\u0105 i\u0161 naujo ir patikrinti versij\u0105 \u2014 httpd -v i\u0161vestyje tur\u0117t\u0173 b\u016bti eilut\u0117 Server version: Apache\/2.4.68: Debian ir Ubuntu sistemose patikrinkite, kad Apache s\u0117kmingai paleistas i\u0161 naujo \u2014 systemctl status apache2 tur\u0117t\u0173 rodyti active (running). Tada \u012fsitikinkite, kad \u012fdiegta aktuali versija \u2014 komanda apache2 -v i\u0161veda binarinio failo versij\u0105, i\u0161vestyje tur\u0117t\u0173 b\u016bti eilut\u0117 Server version: Apache\/2.4.68: Svarbi pastaba: distribucijos kartais atgaline data perkelia saugumo pataisymus \u012f senesnes versijas nekei\u010diant Apache versijos numerio. Jei apache2 -v rodo senesn\u0119 versij\u0105, ta\u010diau paketas buvo neseniai atnaujintas \u2014 patikrinkite distribucijos changelog: 2.4.68 pataisymai gali jau b\u016bti \u012ftraukti. Komanda apt-cache policy apache2 parodo, kas \u012fdiegta ir kas prieinama repozitorijoje, leid\u017eiant patikrinti kompiliavimo dat\u0105: Jei negalima nedelsiant atnaujinti, suma\u017einkite rizik\u0105 i\u0161jungdami nenaudojamus modulius. Jei mod_ldap su per-directory LDAP autentifikacija nenaudojamas \u2014 i\u0161junkite. Jei mod_proxy_ftp nereikalingas \u2014 i\u0161junkite. Jei HTTP\/2 nereikalingas j\u016bs\u0173 serveryje, mod_http2 i\u0161jungimas pa\u0161alina CVE-2026-49975 DoS vektori\u0173. Tai n\u0117ra pataisymo pakaitalas, ta\u010diau laikinai susiaurina atakos pavir\u0161i\u0173: Atkreipkite d\u0117mes\u012f: a2dismod \u2014 tai Debian\/Ubuntu \u012frankis. RHEL tipo sistemose moduliai i\u0161jungiami komentuojant LoadModule direktyvas failuose \/etc\/httpd\/conf.modules.d\/ ir paleid\u017eiant paslaug\u0105 i\u0161 naujo. I\u0160VADOS Apache 2.4.68 \u2014 privalomas atnaujinimas. Trylika CVE, \u012fskaitant privilegij\u0173 eskalavim\u0105 per .htaccess ir neautentifikuot\u0105 HTTP\/2 DoS, nepalieka vietos delsimui. Visos versijos nuo 2.4.0 iki 2.4.67 pa\u017eeid\u017eiamos keliais vektoriais vienu metu. Prioritetai skiriasi priklausomai nuo aplinkos. Bendro naudojimo hostingo teik\u0117jai pirmiausia turi pa\u0161alinti CVE-2026-44119 \u2014 tai tiesiogin\u0117 rizika visiems serverio klientams. Vie\u0161ai prieinami serveriai su HTTP\/2 tur\u0117t\u0173 laikyti CVE-2026-49975 skubiausia problema \u2014 neautentifikuotas DoS be joki\u0173 sprendim\u0173. Reverse proxy prie\u0161 nepatikimus backend serverius \u2014 proxy moduli\u0173 pa\u017eeid\u017eiamumai. Ta\u010diau s\u0105\u017einingas atsakas visiems yra tas pats: atnaujinkite iki Apache 2.4.68.<\/p>\n","protected":false},"author":1,"featured_media":20367,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[275,202,199,155],"tags":[286,266,391,392,313,393,379,394,395],"class_list":["post-20384","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-apache-lt","category-cve-lt","category-linux-lt","category-saugumas","tag-apache","tag-cve","tag-hardening","tag-htaccess","tag-http2","tag-patch","tag-privilege-escalation","tag-security-use-after-free","tag-web-server"],"_links":{"self":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20384","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/comments?post=20384"}],"version-history":[{"count":2,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20384\/revisions"}],"predecessor-version":[{"id":20388,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/posts\/20384\/revisions\/20388"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/media\/20367"}],"wp:attachment":[{"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/media?parent=20384"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/categories?post=20384"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sysadmin.courses\/lt\/wp-json\/wp\/v2\/tags?post=20384"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}mod_ldap<\/code> modulyje naudojant per-directory konfig\u016bracij\u0105 \u2014 kabantis rodiklis (dangling pointer) aktyvuojamas versijose 2.4.0\u20132.4.67, atrastas Pavel Kohout i\u0161 Aisle Research. CVE-2026-48913 mod_http2<\/code> modulyje suveikia kai fail\u0173 apra\u0161ikliai jau i\u0161naudoti \u2014 paveikia siauresn\u012f diapazon\u0105 2.4.55\u20132.4.67, prane\u0161\u0117 Sam Lovejoy i\u0161 IBM X-Force Offensive Research. Abu kelia atminties korupcijos ir nenusp\u0117jamo proceso elgesio rizik\u0105.<\/p>\n\n\n\nap_expr<\/code>) keliuose moduliuose leid\u017eia vietiniams .htaccess<\/code> fail\u0173 autoriams skaityti bet kuriuos failus su httpd vartotojo teis\u0117mis. Prakti\u0161kai tai rei\u0161kia: jei u\u017epuolikas gali sukurti ar modifikuoti .htaccess<\/code> \u2014 per pa\u017eeist\u0105 \u017einiatinklio program\u0105, hostingo valdymo skydel\u012f ar bet kur\u012f kit\u0105 vektori\u0173 \u2014 jis gali naudoti specialiai suformuotas i\u0161rai\u0161kas ir pasiekti Apache proceso skaitomus failus. Bendro naudojimo hostingo serveryje tai potencialiai rei\u0161kia prieig\u0105 prie kit\u0173 klient\u0173 konfig\u016bracijos fail\u0173 ir program\u0173 paslap\u010di\u0173.<\/p>\n\n\n\nmod_http2<\/code> modulyje, kuris esant pakankamam intensyvumui i\u0161eikvoja atmint\u012f ir sugriauna server\u012f. Paveikia versijas 2.4.17\u20132.4.67 \u2014 tai yra visk\u0105, kas veikia su HTTP\/2. Pa\u017eeid\u017eiamum\u0105 atrado Quang Luong i\u0161 Calif.IO bendradarbiaudamas su OpenAI Codex.<\/p>\n\n\n\nmod_proxy_html<\/code> modulyje \u2014 i\u0161naudojamas nepatikimo backend serverio, atvirk\u0161tinio tarpinio serverio (reverse proxy) scenarijuje kenksmingas backend atsakas gali sugadinti Apache proceso atmint\u012f. CVE-2026-34356 (\u017eemas) \u2014 heap overflow ProxyPassReverseCookieMap<\/code> per kenksmingus backend atsakus. CVE-2026-42536 (\u017eemas) \u2014 heap overflow mod_xml2enc<\/code> modulyje apdorojant nepatikim\u0105 turin\u012f. CVE-2026-44631 (\u017eemas) \u2014 heap underwrite funkcijoje ap_regname<\/code> d\u0117l signed char perpildymo specialiai sukurtose reguliari\u0173j\u0173 i\u0161rai\u0161k\u0173 konfig\u016bracijose.<\/p>\n\n\n\nmod_proxy_ftp<\/code> modulyje generuojant FTP katalog\u0173 HTML s\u0105ra\u0161us: kai Apache proxijuoja FTP turin\u012f, nei\u0161valyta i\u0161vestis leid\u017eia skript\u0173 injekcij\u0105 \u012f vartotojo nar\u0161ykl\u0119. CVE-2026-43951 (vidutinis) \u2014 i\u0161\u0117jimas u\u017e buferio skaitymo rib\u0173 funkcijoje merge_response_headers<\/code> apdorojant kelis atsakymo kalb\u0173 variantus \u2014 sukelia vaikinio proceso avarij\u0105 ir laikin\u0105 paslaug\u0173 sutrikim\u0105. CVE-2026-42535 (vidutinis) \u2014 kelio apdorojimo klaida mod_dav_fs<\/code> modulyje: WebDAV autoriai gali tiesiogiai manipuliuoti patikimomis DAV savybi\u0173 duomen\u0173 baz\u0117mis, kas ypa\u010d pavojinga serveriuose su keli\u0173 vartotoj\u0173 WebDAV prieiga. CVE-2026-44185 (\u017eemas) \u2014 steko buferio perra\u0161ymas mod_ssl<\/code> OCSP tvarkykl\u0117je per u\u017epuoliko valdomus OCSP serverius. CVE-2026-44186 (vidutinis) \u2014 begalin\u0117 kilpa mod_proxy_ftp<\/code> tvarkykl\u0117je: jei Apache proxijuoja FTP server\u012f, kur\u012f valdo u\u017epuolikas, \u0161is gali sustabdyti proceso tvarkytuv\u0105 ty\u010dia neteisingais atsakais.<\/p>\n\n\n\nmod_ldap<\/code> modulyje per-directory konfig\u016bracijoje gali b\u016bti nestabilus, ta\u010diau nenusp\u0117jamas proceso elgesys \u017einiatinklio serveryje yra b\u016btent tai, k\u0105 atidus tyr\u0117jas toliau studijuos. Buferio perpildymai proxy moduliuose pavojingi aplinkose su nepatikimais backend serveriais \u2014 reverse proxy prie\u0161 senesn\u0119 program\u0105, proxy \u012f partneri\u0173 API, bet koks scenarijus, kur Apache stovi tarp j\u016bs\u0173 infrastrukt\u016bros ir ka\u017eko nekontroliuojamo.<\/p>\n\n\n\napache2<\/code> \u2014 komanda apt update<\/code> sinchronizuoja paket\u0173 s\u0105ra\u0161us, apt install apache2<\/code> \u012fdiegs naujausi\u0105 versij\u0105:<\/p>\n\n\n\nsudo apt update && sudo apt install apache2<\/code><\/pre>\n\n\n\nhttpd<\/code>. Po atnaujinimo reikia ai\u0161kiai paleisti paslaug\u0105 i\u0161 naujo ir patikrinti versij\u0105 \u2014 httpd -v<\/code> i\u0161vestyje tur\u0117t\u0173 b\u016bti eilut\u0117 Server version: Apache\/2.4.68<\/code>:<\/p>\n\n\n\nsudo dnf update httpd\nsudo systemctl restart httpd\nhttpd -v<\/code><\/pre>\n\n\n\nsystemctl status apache2<\/code> tur\u0117t\u0173 rodyti active (running)<\/code>. Tada \u012fsitikinkite, kad \u012fdiegta aktuali versija \u2014 komanda apache2 -v<\/code> i\u0161veda binarinio failo versij\u0105, i\u0161vestyje tur\u0117t\u0173 b\u016bti eilut\u0117 Server version: Apache\/2.4.68<\/code>:<\/p>\n\n\n\nsudo systemctl status apache2\napache2 -v<\/code><\/pre>\n\n\n\napache2 -v<\/code> rodo senesn\u0119 versij\u0105, ta\u010diau paketas buvo neseniai atnaujintas \u2014 patikrinkite distribucijos changelog: 2.4.68 pataisymai gali jau b\u016bti \u012ftraukti. Komanda apt-cache policy apache2<\/code> parodo, kas \u012fdiegta ir kas prieinama repozitorijoje, leid\u017eiant patikrinti kompiliavimo dat\u0105:<\/p>\n\n\n\napt-cache policy apache2<\/code><\/pre>\n\n\n\nmod_ldap<\/code> su per-directory LDAP autentifikacija nenaudojamas \u2014 i\u0161junkite. Jei mod_proxy_ftp<\/code> nereikalingas \u2014 i\u0161junkite. Jei HTTP\/2 nereikalingas j\u016bs\u0173 serveryje, mod_http2<\/code> i\u0161jungimas pa\u0161alina CVE-2026-49975 DoS vektori\u0173. Tai n\u0117ra pataisymo pakaitalas, ta\u010diau laikinai susiaurina atakos pavir\u0161i\u0173:<\/p>\n\n\n\nsudo a2dismod ldap authnz_ldap\nsudo a2dismod proxy_ftp\nsudo a2dismod http2\nsudo systemctl restart apache2<\/code><\/pre>\n\n\n\na2dismod<\/code> \u2014 tai Debian\/Ubuntu \u012frankis. RHEL tipo sistemose moduliai i\u0161jungiami komentuojant LoadModule<\/code> direktyvas failuose \/etc\/httpd\/conf.modules.d\/<\/code> ir paleid\u017eiant paslaug\u0105 i\u0161 naujo.<\/p>\n\n\n\n