Релиз http-сервера Apache 2.4.66 с устранением 5 уязвимостей

05.12.2025 13:32

已发布HTTP服务器Apache 2.4.66版本，该版本修复了5个安全漏洞，并进行了数十项更改。

已修复的漏洞（前2个为中等危险等级，其余为低等级）:

• CVE-2025-66200 - 在配置了 mod_userdir 和 suexec 的情况下，通过操控 .htaccess 文件中的 “RequestHeader” 指令（如果允许使用 .htaccess），导致CGI脚本以其他用户身份运行。
• CVE-2025-59775 - 服务器端请求伪造（SSRF）漏洞，在Windows平台上使用Apache httpd，且配置为 “AllowEncodedSlashes On” 和 “MergeSlashes Off” 时，可能导致NTLM哈希泄露到另一台服务器。
• CVE-2025-65082 - 由于控制字符转义不当，导致CGI脚本的环境变量被覆盖（在设置中定义变量可能覆盖服务器为CGI计算的变量值）。
• CVE-2025-58098 - 在使用 mod_cgid 而非 mod_cgi 的配置中，将转义的查询字符串传递到SSI（服务器端包含）指令 “<!--#exec cmd=...-->"。
• CVE-2025-55753 - 在 mod_md 模块中，尝试更新过期证书多次失败后，持续（请求间无延迟）重复发送ACME证书更新请求。

与安全无关的改进包括:

• 模块 mod_md（实现ACME协议）更新至版本 2.6.6:
  • 新增对ACME续期信息（ARI）协议扩展的支持，允许获取证书续期需求信息并选择最佳续期时间。可通过指令 “MDRenewViaARI on|off” 启用ARI。
  • 新增指令 “MDInitialDelay"，用于设置服务器重启后检查证书的延迟。
  • 将默认参数 MDRetryDelay（错误后重试前的延迟）增加到30秒。
  • 停止对Tailscale VPN网络的支持。
  • 修复了错误和内存泄漏问题。
• 模块 mod_http2 更新至版本 2.0.35，新增指令 “H2MaxStreamErrors"，用于设置流中的错误数量限制，达到此限制后连接将被关闭。
• 在 mod_http2 中，改进了对来自 mod_cache 的代码为3的响应的正确处理。
• 在 mod_proxy_http2 中实现了 “ProxyErrorOverride” 指令，用于重写错误代码。
• 在 mpm_common 中新增了 “ListenTCPDeferAccept” 指令，可通过该指令为监听套接字设置 TCP_DEFER_ACCEPT 选项（仅在数据到达套接字时才激活）。
• 在 mod_ssl 中新增了 “SSLVHostSNIPolicy” 指令，用于配置虚拟主机的兼容性规则。

新闻主链接 (https://www.mail-archive.com/a…) OpenNews: Apache基金会更换了徽标并开始使用缩写ASF OpenNews: Apache 2.4.65 http服务器中修复了导致mod_rewrite工作异常的问题 OpenNews: 修复了8个漏洞的Apache http服务器2.4.64版本发布 OpenNews: systemd正在开发通过HTTP加载系统镜像的功能 OpenNews: HTTP/2协议实现中的漏洞简化了DoS攻击的进行

许可证: CC BY 3.0 短链接: https://opennet.ru/64380-apache 关键词: apache, http

—> 操作系统Solaris 11.4 SRU87发布 转载时必须注明指向opennet.ru的链接

讨论 (3) 主模式 | RSS

1. 匿名 (1), 13:02, 05/12/2025 [回复]      [向版主报告] +/–

   发布HTTP服务器Apache 2.4.66 https://www.netcraft.com/blog/november-2025-web-server-survey -

2. 匿名 (2), 13:03, 05/12/2025 [回复]      [向版主报告] –2 +/– 又是Rust妨碍了C程序员写出没有CVE的Apache吗？ -

3. 匿名 (3), 13:13, 05/12/2025 已被版主机器人隐藏 [向版主报告]+/– -

忽略用户 | 版主操作日志

添加评论

姓名: 电子邮件: 文本: