Проект Apache HTTP Server выпустил версию 2.4.68. Релиз закрывает набор уязвимостей в модулях HTTP/2, proxy, WebDAV, LDAP, SSL и механизмах обработки конфигурации, поэтому обновление важно для администраторов сайтов, хостингов и корпоративных серверов.
Релиз 2.4.68 стал актуальной стабильной версией Apache httpd
8 июня 2026 года The Apache Software Foundation и команда Apache HTTP Server объявили выпуск Apache HTTP Server 2.4.68. В объявлении проект называет эту версию актуальным стабильным выпуском ветки 2.4.x и рекомендует пользователям предыдущих версий перейти на неё.
Apache HTTP Server, часто называемый просто Apache или httpd, — один из самых известных веб-серверов. Он принимает HTTP-запросы от браузеров, передаёт их приложению или отдаёт готовые файлы: страницы, изображения, CSS, JavaScript и другие ресурсы сайта. Такой сервер может работать как самостоятельный веб-сервер, обратный прокси, часть хостинговой платформы или компонент корпоративной инфраструктуры.
Официальный каталог загрузок уже содержит исходные архивы httpd-2.4.68.tar.gz и httpd-2.4.68.tar.bz2, контрольные суммы SHA и PGP-подписи. Это важно для администраторов, которые собирают Apache из исходников или готовят собственные пакеты для внутренней инфраструктуры.
Главный акцент релиза сделан на безопасности серверной инфраструктуры
В кратком файле CHANGES_2.4.68 перечислены исправления более десятка CVE. Часть проблем относится к сценариям с HTTP/2, часть затрагивает proxy-модули, .htaccess, WebDAV, LDAP, SSL и обработку заголовков.
Самые заметные направления исправлений:
| Область | Примеры исправленных проблем | Практический риск |
| HTTP/2 | CVE-2026-49975 и CVE-2026-48913 | отказ в обслуживании или повреждение памяти в отдельных условиях |
.htaccess и выражения Apache | CVE-2026-44119 | чтение файлов с правами пользователя, под которым работает httpd |
| proxy-модули | CVE-2026-34355, CVE-2026-34356, CVE-2026-44186, CVE-2026-29170 | сбои, переполнение буфера, XSS или зависание при работе с недоверенными backend-серверами |
| WebDAV | CVE-2026-42535 | сбои дочерних процессов при манипуляции DAV-данными |
| SSL и OCSP | CVE-2026-44185 | чтение за пределами буфера при обращении к контролируемому OCSP-серверу |
| LDAP | CVE-2026-29167 | use-after-free в конфигурации на уровне директорий |
Для обычного владельца сайта это означает простую вещь: даже если сайт внешне работает стабильно, старая версия веб-сервера может содержать ошибки, которые проявятся при определённой конфигурации, включённых модулях или взаимодействии с backend-сервисами.
Уязвимости HTTP/2 заслуживают отдельной проверки конфигурации
В релизе 2.4.68 исправлены две проблемы, связанные с mod_http2. Первая, CVE-2026-49975, описана как уязвимость отказа в обслуживании из-за чрезмерного выделения памяти при обработке вредоносных HTTP-запросов. Вторая, CVE-2026-48913, связана с use-after-free при исчерпании файловых дескрипторов.
HTTP/2 — современная версия протокола HTTP, которая позволяет эффективнее передавать несколько запросов по одному соединению. Для посетителей это обычно означает более быструю загрузку сайта, а для сервера — более сложную обработку соединений и потоков данных.
Администраторам стоит проверить, используется ли модуль mod_http2. На Linux-серверах это часто можно сделать через список включённых модулей Apache или через конфигурацию виртуального хоста. Если HTTP/2 включён на публичном сайте, обновление до 2.4.68 следует воспринимать как приоритетную задачу обслуживания.
Исправление .htaccess важно для shared hosting и сайтов с доступом нескольких пользователей
Отдельного внимания заслуживает CVE-2026-44119. По описанию Apache, ошибка в управлении правами через выражения в .htaccess могла позволить локальным авторам .htaccess читать файлы с привилегиями пользователя httpd.
.htaccess — это локальный конфигурационный файл Apache. Он часто используется на shared hosting, где у владельца сайта есть доступ к настройкам каталога, но нет полного доступа к глобальной конфигурации сервера. Через такие файлы обычно настраивают редиректы, правила URL, ограничения доступа, обработку ошибок и параметры приложений.
Риск особенно заметен для окружений, где на одном сервере размещены проекты разных клиентов или команд. Если пользователи могут загружать или менять .htaccess, обновление помогает снизить риск чтения чужих файлов в рамках прав процесса веб-сервера.
Proxy-модули требуют внимания при работе с внешними backend-сервисами
В Apache 2.4.68 закрыты проблемы в mod_proxy_html, mod_proxy_ftp и механизмах обработки ProxyPassReverseCookie*. Эти компоненты используются в сценариях, где Apache выступает посредником между пользователем и другим сервером.
Например, Apache может принимать запрос от браузера, затем передавать его приложению на другом порту, внутреннему сервису, FTP-серверу или backend-системе. Такой подход удобен для балансировки нагрузки, публикации внутренних сервисов и централизованной настройки HTTPS.
Часть исправлений связана с ситуациями, где backend-сервер может быть недоверенным, скомпрометированным или некорректно настроенным. Поэтому обновление особенно актуально для инфраструктуры с обратными прокси, legacy-сервисами, внутренними шлюзами и сложными цепочками backend-приложений.
Обновление стоит планировать через тестовый контур и проверку модулей
Apache 2.4.68 относится к стабильной ветке 2.4.x, но обновление веб-сервера всё равно требует аккуратности. В официальном объявлении указано, что релиз требует Apache Portable Runtime APR версии 1.5.x или новее и APR-Util версии 1.5.x или новее. Для части возможностей могут понадобиться версии 1.6.x.
Перед обновлением полезно выполнить базовый чек-лист:
- Зафиксировать текущую версию Apache и список включённых модулей.
- Сохранить копии конфигурации виртуальных хостов,
.htaccess, SSL-настроек и proxy-правил. - Проверить обновление на тестовом сервере или staging-окружении.
- Убедиться, что сторонние модули совместимы с новой сборкой.
- После обновления проверить логи ошибок, работу HTTPS, редиректы, HTTP/2, WebDAV и proxy-маршруты.
- Для сборок из исходников сверить контрольные суммы и PGP-подписи с официального каталога загрузок.
Для серверов на популярных Linux-дистрибутивах обновление может появиться через системные репозитории с задержкой. В таком случае администратору стоит следить за бюллетенями своего дистрибутива: Debian, Ubuntu, RHEL, AlmaLinux, Rocky Linux, SUSE или других используемых систем.
Apache 2.4.68 закрывает практические риски для публичных веб-серверов
Apache HTTP Server 2.4.68 выглядит как важный сервисный выпуск для тех, кто поддерживает публичные сайты, хостинговые панели, корпоративные порталы и backend-инфраструктуру. В нём закрыты уязвимости в модулях, которые часто встречаются в реальных конфигурациях: HTTP/2, proxy, .htaccess, SSL, WebDAV и LDAP.
Администраторам следует выполнить следующие действия: проверить текущую версию httpd, выявить активированные модули и запланировать обновление, следуя стандартной процедуре тестирования. Чем сложнее структура сервера, тем более необходимо заранее убедиться в совместимости модулей и в том, как сайт будет функционировать после обновления до версии 2.4.68.
