Apache HTTP Server opravuje 11 zraniteľností

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Apache HTTP Server opravuje 11 zraniteľností

Apache verziou 2.4.67 opravuje 11 zraniteľností v produkte Apache HTTP Server [3]. Debian vydania opravujúce zraniteľnosť CVE-2026-23918 [4]: bullseye - 2.4.62-1~deb11u1 bullseye (security) - 2.4.66-1~deb11u1 bookworm (security) - 2.4.67-1~deb12u2 trixie - 2.4.66-1~deb13u2 trixie (security) - 2.4.67-1~deb13u2 forky - 2.4.66-8 sid - 2.4.67-1 Debian vydania opravujúce ostatné zraniteľnosti [5]: bookworm (security) - 2.4.67-1~deb12u2 trixie (security) - 2.4.67-1~deb13u2 Vydania Ubuntu a ich opravené vydania [6][7]: resolute - 2.4.66-2ubuntu2.1 questing - 2.4.64-1ubuntu3.4 noble - 2.4.58-1ubuntu8.12 jammy - 2.4.52-1ubuntu4.20

Apache HTTP - heap buffer over-read (CVE-2026-23918)

Neautentizovanému vzdialenému útočníkovi je kvôli chybe opakovaného uvoľnovania tej istej časti pamäte potenciálne umožnené na zraniteľnom stroji spúšťať kód [1].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách >=2.4.66 AND <2.4.67.

Viac informácií:

CVE-2026-23918 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-415: Double Free at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 4. 5. 2026.

Apache HTTP - DoS (CVE-2026-33007)

Neautentizovanému vzdialenému útočníkovi je na inštanciu s povolenou forward proxy s cache umožnené vykonať DoS útok [2].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách >=2.4.0 AND <2.4.67.

Viac informácií:

CVE-2026-33007 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-476: NULL Pointer Dereference at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 4. 5. 2026.

Apache HTTP - timing discrepancy attack (CVE-2026-33006)

Neautentizovanému vzdialenému útočníkovi je pomocou časového útoku umožnené postupne odhadnúť správnu digest hodnotu a následne sa pomocou nej autentifikovať [2].

Zraniteľnosť sa nachádza v produkte Apache HTTP vo verziách >=2.4.66 AND <2.4.67.

Viac informácií:

CVE-2026-33006 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-208: Observable Timing Discrepancy at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 4. 5. 2026.

Odkazy

Za CESNET-CERTS Martin Krajči dňa 7. 5. 2026.

Zpětná vazba k reportu

[TLP:CLEAR] Apache HTTP Server opravuje 11 zraniteľností

Apache HTTP - heap buffer over-read (CVE-2026-23918)

Apache HTTP - DoS (CVE-2026-33007)

Apache HTTP - timing discrepancy attack (CVE-2026-33006)

Odkazy