Apache Software Foundation đã phát hành Apache HTTP Server phiên bản 2.4.68 vào ngày 8 tháng 6 năm 2026, giải quyết 13 lỗ hổng bảo mật nghiêm trọng. Các bản vá lỗi này bao gồm các vấn đề về use-after-free, tấn công vượt bộ đệm dựa trên heap, tấn công từ chối dịch vụ (DoS), leo thang đặc quyền và đọc dữ liệu ngoài giới hạn. Tất cả các phiên bản từ 2.4.0 đến 2.4.67 đều bị ảnh hưởng.
Các Lỗ hổng Bảo mật Đã Được Vá Lỗi
Use-After-Free Vulnerabilities
Hai lỗ hổng use-after-free đã được khắc phục trong bản phát hành này.
CVE-2026-29167
Lỗ hổng này ảnh hưởng đến mod_ldap trong các cấu hình per-directory. Một con trỏ bị treo có thể được kích hoạt, gây ra lỗi. Vấn đề này ảnh hưởng đến các phiên bản từ 2.4.0 đến 2.4.67. Lỗ hổng được phát hiện bởi Pavel Kohout của Aisle Research.
CVE-2026-48913
Lỗ hổng thứ hai, CVE-2026-48913, tác động đến mod_http2 khi các tài nguyên file đã bị cạn kiệt. Phạm vi ảnh hưởng hẹp hơn, từ 2.4.55 đến 2.4.67. Lỗ hổng này được báo cáo bởi Sam Lovejoy của IBM X-Force Offensive Research (XOR).
Cross-Site Scripting (XSS) Vulnerability
CVE-2026-29170
CVE-2026-29170 mô tả một lỗ hổng XSS trong tính năng tạo danh sách thư mục HTML của mod_proxy_ftp. Khi Apache proxy nội dung thư mục FTP (thông qua proxy chuyển tiếp hoặc ngược), đầu ra không được làm sạch có thể cho phép chèn mã script độc hại. Lỗ hổng này có mức độ nghiêm trọng thấp, ảnh hưởng đến tất cả các phiên bản đến 2.4.67 và cũng được phát hiện bởi Pavel Kohout.
Buffer Overflow Vulnerabilities
Bốn lỗ hổng tấn công vượt bộ đệm đã được khắc phục:
- CVE-2026-36891 (Nguy cơ cao): Tấn công vượt bộ đệm trong mod_auth_digest, ảnh hưởng đến các phiên bản từ 2.4.0 đến 2.4.67.
- CVE-2026-39154 (Nguy cơ cao): Tấn công vượt bộ đệm trong mod_proxy, ảnh hưởng đến các phiên bản từ 2.4.0 đến 2.4.67.
- CVE-2026-37311 (Nguy cơ cao): Tấn công vượt bộ đệm trong mod_log_config, ảnh hưởng đến các phiên bản từ 2.4.0 đến 2.4.67.
- CVE-2026-38222 (Nguy cơ cao): Tấn công vượt bộ đệm trong mod_session, ảnh hưởng đến các phiên bản từ 2.4.0 đến 2.4.67.
Denial-of-Service (DoS) Vulnerabilities
Hai lỗ hổng DoS đã được sửa chữa:
CVE-2026-49975
Lỗ hổng này (mức độ vừa) cho phép cạn kiệt bộ nhớ trong mod_http2 thông qua các yêu cầu HTTP/2 độc hại. Nó ảnh hưởng đến các phiên bản từ 2.4.17 đến 2.4.67. Lỗ hổng được phát hiện bởi Quang Luong của Calif.IO hợp tác với OpenAI Codex. Đây là một mối đe dọa cần được quan tâm.
CVE-2026-44186
Lỗ hổng này (mức độ vừa) kích hoạt một vòng lặp vô hạn trong trình xử lý của mod_proxy_ftp thông qua một máy chủ FTP backend do kẻ tấn công kiểm soát.
Privilege Escalation and Out-of-Bounds Read
CVE-2026-18245
Lỗ hổng leo thang đặc quyền nghiêm trọng này ảnh hưởng đến mod_proxy_ftp khi kết hợp với các cấu hình nhất định. Kẻ tấn công có thể khai thác lỗ hổng này để đạt được các quyền cao hơn trên hệ thống. Phiên bản bị ảnh hưởng là từ 2.4.0 đến 2.4.67.
CVE-2026-18244
Lỗ hổng đọc dữ liệu ngoài giới hạn trong mod_xml2 có thể bị khai thác để đọc các vùng bộ nhớ không mong muốn, dẫn đến rò rỉ thông tin nhạy cảm hoặc làm lộ chi tiết cấu hình hệ thống. Lỗ hổng này ảnh hưởng đến các phiên bản từ 2.4.0 đến 2.4.67.
Khuyến nghị Cập nhật Bản vá
Apache Software Foundation khuyến nghị tất cả người dùng nâng cấp ngay lên Apache HTTP Server 2.4.68. Không có giải pháp thay thế (workaround) nào khả dụng cho hầu hết các lỗ hổng này. Phiên bản cập nhật có sẵn thông qua trang tải xuống chính thức của Apache (https://httpd.apache.org/download.cgi). Việc cập nhật bản vá kịp thời là rất quan trọng để đảm bảo an toàn thông tin cho hệ thống.
Tầm quan trọng của Việc Cập nhật Lỗ hổng
Việc các lỗ hổng CVE nghiêm trọng được công bố và có thể bị khai thác cho thấy sự cần thiết của việc quản lý bản vá và theo dõi các bản cập nhật bảo mật một cách chủ động. Quản trị viên hệ thống cần liên tục kiểm tra và áp dụng các bản vá lỗi mới nhất để giảm thiểu nguy cơ bị tấn công mạng.
