Apache HTTP Server 2.4.68: тринадцать CVE одним патчем — обновляйтесь сейчас

8 июня 2026 года Apache Software Foundation выпустила Apache HTTP Server 2.4.68. Релиз закрывает 13 уязвимостей сразу — use-after-free, переполнения буфера, XSS, DoS через HTTP/2, повышение привилегий через .htaccess и выход за пределы буфера чтения. Затронуты все версии от 2.4.0 до 2.4.67 включительно. Обходных решений для большинства из них не существует — только обновление.

Тринадцать CVE в одном релизе — это не рядовая ситуация. Это означает, что несколько независимых исследователей одновременно работали над одной кодовой базой и скоординированно раскрыли результаты. Показательно, что CVE-2026-44119 (повышение привилегий через .htaccess) обнаружили сразу 10 независимых исследователей — и это само по себе сигнал: когда одну и ту же проблему находят десять человек одновременно, вероятность что её нашёл кто-то одиннадцатый, но не раскрыл, существенно выше нуля.

ЧТО ПРОИЗОШЛО

Два use-after-free. CVE-2026-29167 в mod_ldap при per-directory конфигурации — висячий указатель активируется в версиях 2.4.0–2.4.67, обнаружен Pavel Kohout из Aisle Research. CVE-2026-48913 в mod_http2 срабатывает когда файловые дескрипторы уже исчерпаны — затрагивает версии 2.4.55–2.4.67, обнаружен Sam Lovejoy из IBM X-Force Offensive Research. Оба несут риск повреждения памяти и непредсказуемого поведения процесса.

Повышение привилегий через .htaccess — CVE-2026-44119 (умеренная критичность). Уязвимость в обработке выражений (ap_expr) в нескольких модулях позволяет локальным авторам .htaccess читать произвольные файлы с привилегиями пользователя httpd. Иными словами: если атакующий может создать или модифицировать .htaccess — через скомпрометированное веб-приложение, панель управления хостингом или любой другой вектор — он может использовать специально составленные выражения чтобы получить доступ к файлам Apache-процесса. На shared-хостинге это потенциально означает доступ к конфигам, секретам и данным всех соседних сайтов на том же сервере.

DoS через HTTP/2 — CVE-2026-49975 (умеренная). Вредоносные HTTP/2 запросы вызывают неограниченное выделение памяти в mod_http2, что при достаточной интенсивности приводит к исчерпанию памяти и падению сервера. Затрагивает версии 2.4.17–2.4.67 — то есть всё, что работает с HTTP/2. Уязвимость обнаружена Quang Luong из Calif.IO в сотрудничестве с OpenAI Codex.

Четыре переполнения буфера. CVE-2026-34355 (умеренная) в mod_proxy_html — эксплуатируется ненадёжным backend-сервером, при реверс-прокси сценарии вредоносный ответ backend может повредить память Apache. CVE-2026-34356 (низкая) — heap overflow в ProxyPassReverseCookieMap через вредоносные ответы backend. CVE-2026-42536 (низкая) — heap overflow в mod_xml2enc при обработке недоверенного контента. CVE-2026-44631 (низкая) — heap underwrite в ap_regname из-за переполнения signed char в специально созданных regex конфигурациях.

Ещё пять исправлений завершают картину. CVE-2026-29170 (низкая) — XSS в mod_proxy_ftp при генерации HTML-листинга FTP-директорий: когда Apache проксирует FTP-содержимое, неочищенный вывод позволяет инъекцию скриптов в браузер пользователя. CVE-2026-43951 (умеренная) — выход за пределы буфера чтения в merge_response_headers при обработке нескольких языков ответа — приводит к крашу дочернего процесса и временному отказу в обслуживании. CVE-2026-42535 (умеренная) — проблема обработки путей в mod_dav_fs: WebDAV-авторы могут манипулировать доверенными базами данных DAV-свойств, что особенно критично на серверах с WebDAV-доступом для нескольких пользователей. CVE-2026-44185 (низкая) — переполнение стекового буфера в OCSP-обработчике mod_ssl через управляемые злоумышленником OCSP-серверы. CVE-2026-44186 (умеренная) — бесконечный цикл в обработчике mod_proxy_ftp: если Apache проксирует FTP-сервер под контролем атакующего, тот может завесить процесс-обработчик намеренно некорректными ответами.

ПОЧЕМУ ЭТО ВАЖНО

Apache по-прежнему обслуживает огромную долю веб-инфраструктуры — особенно на shared hosting и в корпоративных средах. CVE-2026-44119 в этом контексте особенно острая: вектор атаки через .htaccess — это реальность shared hosting, где запись в директорию сайта достижима через десятки векторов: уязвимое веб-приложение, скомпрометированные учётные данные FTP, уязвимость панели управления. После получения возможности записи в .htaccess атакующий читает файлы Apache-процесса, что на типичном shared-хосте может включать конфигурационные файлы и секреты приложений других клиентов сервера.

CVE-2026-49975 актуален для любого публично доступного Apache с включённым HTTP/2 — а это большинство современных конфигураций. Атака не требует аутентификации: достаточно отправить специально созданные HTTP/2 запросы, которые провоцируют неограниченное выделение памяти. При достаточном объёме трафика это приводит к OOM и падению сервера — классический DoS без каких-либо эксплойтов.

Два use-after-free, хотя и низкой критичности, представляют риск в цепочках атак. Use-after-free в mod_ldap при per-directory конфигурации может быть нестабильным, но сам факт его наличия означает что при определённых условиях нагрузки поведение процесса становится неопределённым — а неопределённое поведение в web-сервере это именно то, что дотошный исследователь будет изучать дальше. Переполнения буфера в прокси-модулях опасны в средах с ненадёжными backend-серверами — reverse proxy перед унаследованным приложением, проксирование к партнёрским API, любой сценарий где Apache стоит перед чем-то неконтролируемым.

ЧТО ДЕЛАТЬ

Обновите Apache до версии 2.4.68 — это единственный способ закрыть большинство этих уязвимостей, обходных решений нет. На Debian и Ubuntu пакет называется apache2 — команда apt update синхронизирует списки пакетов, apt install apache2 установит актуальную версию:

sudo apt update && sudo apt install apache2

На RHEL, CentOS и Fedora пакет называется httpd. После обновления нужно явно перезапустить сервис и проверить версию — в выводе httpd -v должна быть строка Server version: Apache/2.4.68:

sudo dnf update httpd
sudo systemctl restart httpd
httpd -v

После обновления пакета на Debian/Ubuntu проверьте что Apache перезапустился и работает — systemctl status apache2 должен показать active (running). Затем убедитесь что установлена актуальная версия — команда apache2 -v выводит версию бинарника, в выводе должна быть строка Server version: Apache/2.4.68:

sudo systemctl status apache2
apache2 -v

Важный нюанс: дистрибутивы иногда бэкпортируют патчи безопасности в более старые версии без смены номера версии Apache. Если apache2 -v показывает более старую версию, но пакет был обновлён недавно — сверьтесь с changelog: патчи из 2.4.68 могут уже присутствовать. Проверьте дату установленного пакета — строка Candidate покажет доступную в репозитории версию, а Installed — что реально установлено:

apt-cache policy apache2

Если немедленное обновление невозможно, минимально снизьте риск отключив неиспользуемые модули. Если mod_ldap с per-directory LDAP-аутентификацией не используется — отключите его. Если mod_proxy_ftp не нужен — отключите. Если HTTP/2 не требуется на вашем сервере, отключение mod_http2 уберёт вектор CVE-2026-49975. Это не замена патчу, но временно сужает поверхность атаки:

sudo a2dismod ldap authnz_ldap
sudo a2dismod proxy_ftp
sudo a2dismod http2
sudo systemctl restart apache2

Обратите внимание: a2dismod — инструмент Debian/Ubuntu. На RHEL-совместимых системах модули отключаются комментированием директив LoadModule в файлах /etc/httpd/conf.modules.d/ и перезапуском сервиса.

ВЫВОДЫ

Apache 2.4.68 — обязательное обновление. Тринадцать CVE, включая повышение привилегий через .htaccess и DoS через HTTP/2, не оставляют пространства для откладывания. Версии 2.4.0–2.4.67 уязвимы сразу по нескольким векторам одновременно.

Приоритеты разные в зависимости от сценария. Провайдеры shared hosting должны закрыть CVE-2026-44119 в первую очередь — это прямой риск для всех клиентов на сервере. Серверы с HTTP/2 под публичной нагрузкой — CVE-2026-49975, DoS без аутентификации. Reverse proxy перед ненадёжными backend-серверами — уязвимости в прокси-модулях. Но честный ответ для всех один: обновите Apache до 2.4.68.