Сервер может «упасть» от одного запроса. Apache выпустил экстренное обновление до версии 2.4.67 — вот что нужно сделать прямо сейчас
В популярном веб-сервере Apache нашли уязвимость, которая позволяет захватить контроль над системой. Проблему уже закрыли, но обновиться нужно как можно быстрее.
Фонд Apache Software Foundation выпустил обновление для Apache HTTP Server до версии 2.4.67. Разработчики исправили сразу пять уязвимостей, среди которых самая опасная может привести к удалённому выполнению кода. Всем, кто использует версию 2.4.66 и более старые, рекомендуют срочно установить обновление.
Главная проблема получила идентификатор CVE-2026-23918 и оценку 8,8 балла по шкале CVSS. Уязвимость связана с ошибкой двойного освобождения памяти в реализации протокола HTTP/2. Сбой возникает при особом сценарии сброса соединения. В результате структура памяти повреждается, а злоумышленник может вмешаться в выполнение программы и запустить произвольный код на сервере. Ошибка затрагивает только версию 2.4.66. О ней сообщили в декабре 2025 года. Исправление подготовили уже на следующий день, но публично оно вошло в релиз только сейчас.
Вторая уязвимость, CVE-2026-24072, получила средний уровень опасности. Проблема кроется в модуле mod_rewrite, который отвечает за обработку правил переадресации. Пользователь с доступом к файлам .htaccess может читать любые файлы на сервере с правами процесса httpd. Фактически речь идёт о повышении привилегий. Ошибка затрагивает версии до 2.4.66 включительно.
Оставшиеся три уязвимости менее опасны, но тоже неприятны. Одна позволяет переписать часть памяти через модуль mod_proxy_ajp при подключении к вредоносному серверу. Другая даёт возможность перегрузить сервер, отправив слишком большой ответ проверки сертификата в модуле mod_md. Третья связана с разыменованием нулевого указателя в mod_dav_lock и позволяет уронить сервер специально сформированным запросом.
Разработчики советуют не откладывать обновление. Версия 2.4.67 закрывает все найденные проблемы. Если обновиться сразу не получается, стоит хотя бы временно отключить HTTP/2 и убрать модуль mod_dav_lock, если он не используется. Также имеет смысл проверить права доступа к .htaccess, чтобы снизить риск эксплуатации второй уязвимости.