Apache Software Foundation
Apache軟體基金會近日發布網頁伺服器Apache HTTP Server最新2.4.68版,並修補13項漏洞,涵蓋記憶體安全、跨網站指令碼(XSS)、權限提升、阻斷服務(DoS)與越界存取等問題,建議2.4.x版的用戶儘速升級到新版本。
這次修補的Apache HTTP Server漏洞中,包含影響多種主流網頁伺服器產品的HTTP/2 Bomb漏洞CVE-2026-49975,攻擊者可利用HTTP/2請求耗盡伺服器資源,導致服務無法回應。另外還有一項也是屬於阻斷服務類型的漏洞CVE-2026-44186,源自後端FTP伺服器的mod_proxy_ftp模組,這個模組也涉及這次修補的另一個跨網站指令碼(XSS)漏洞CVE-2026-29170。
其他修補的漏洞中,則以記憶體安全類型居多,包括兩項記憶體已釋放卻仍被使用(UAF)漏洞,分別是影響mod_ldap模組的CVE-2026-29167,影響mod_http2模組的CVE-2026-48913;還有兩項堆積緩衝區溢位(Heap Buffer Overflow)漏洞,如涉及ProxyPassReverseCookieMap模組的CVE-2026-34356,與涉及mod_xml2enc模組的CVE-2026-42536;還有影響mod_proxy_html模組的緩衝區溢位漏洞CVE-2026-34355,以及影響mod_headers/mod_mime模組的記憶體越界讀取漏洞CVE-2026-43951。
需要特別注意的是,Apache HTTP Server這次修補的部分漏洞,Apache團隊與外部第三方單位的嚴重性評分存在巨大落差。例如Apache公告中將CVE-2026-29167、CVE-2026-44631這兩項漏洞列為低風險,但CISA-ADP的CVSS嚴重性評分都高達9.8分,顯示不同單位對這些漏洞風險的看法並不一致。
