Apache vá các lỗ hổng nghiêm trọng cho phép thực thi mã từ xa trong HTTP Server và MINA
Apache đã phát hành các bản vá bảo mật quan trọng cho HTTP Server và MINA, khắc phục hơn một chục lỗ hổng. Các lỗi nguy hiểm nhất có thể bị kẻ tấn công khai thác để thực thi mã từ xa hoặc gây từ chối dịch vụ.
Vào thứ Hai vừa qua, Quỹ Phần mềm Apache đã phát hành các bản cập nhật bảo mật quan trọng cho hai dự án phổ biến là HTTP Server và MINA. Các bản vá này nhằm khắc phục hơn một chục lỗ hổng bảo mật, trong đó có nhiều lỗi được đánh giá ở mức nghiêm trọng và cao, cho phép kẻ tấn công thực thi mã từ xa (RCE).
Apache exploit
Apache HTTP Server 2.4.67
Phiên bản Apache HTTP Server 2.4.67 đã được phát hành với tổng cộng 11 bản sửa lỗi bảo mật, 10 trong số đó ảnh hưởng đến tất cả các bản phát hành trước đó.
Lỗi nghiêm trọng nhất được theo dõi dưới mã CVE-2026-23918. Đây là một lỗi double-free (giải phóng bộ nhớ hai lần) trong quá trình xử lý giao thức HTTP/2. Bằng cách kích hoạt một thiết lập lại (reset) sớm, kẻ tấn công có thể gây ra tình trạng từ chối dịch vụ (DoS) và tiềm ẩn khả năng thực thi mã tùy ý trên hệ thống mục tiêu.
Tiếp theo là CVE-2026-28780, một lỗi tràn bộ nhớ đệm heap (heap buffer overflow). Lỗi này cho phép kẻ tấn công từ xa gửi các tin nhắn AJP đã được chế tạo đặc biệt để gây ra DoS hoặc thực thi mã.
Ngoài ra, bản cập nhật cũng giải quyết ba lỗi bảo mật khác (CVE-2026-29168, CVE-2026-29169, và CVE-2026-33007) có thể dẫn đến tình trạng DoS. Bốn lỗi khác (CVE-2026-24072, CVE-2026-33857, CVE-2026-34032, và CVE-2026-34059) có thể gây ra lộ thông tin.
Một vấn đề quan trọng khác là CVE-2026-33523, liên quan đến việc trung hòa không đúng các chuỗi CRLF, cho phép kẻ tấn công thao túng các phản hồi HTTP. Ngoài ra, một điểm yếu về kênh bên thời gian (timing side-channel) được theo dõi là CVE-2026-33006 cũng đã được vá, lỗi này có thể dẫn đến việc bỏ qua xác thực Digest.
Các bản vá cho Apache MINA
Cùng ngày, Apache cũng thông báo phát hành MINA phiên bản 2.2.7 và 2.1.12 để sửa hai lỗ hổng nghiêm trọng lẽ ra phải được khắc phục trong các bản phát hành trước đó.
Lỗi đầu tiên, CVE-2026-42778, được mô tả là một bản sửa lỗi chưa hoàn thiện cho CVE-2026-41409 (vốn cũng là bản sửa chưa hoàn thiện cho CVE-2024-52046). Vấn đề gốc rễ nằm ở việc deserialization dữ liệu không an toàn, có thể bị khai thác để thực thi mã từ xa.
Lỗi thứ hai, CVE-2026-42779, cũng là một bản sửa lỗi chưa hoàn thiện cho CVE-2026-41635. Đây là lỗi kiểm tra không đúng quy trình dẫn đến việc bỏ qua danh sách cho phép (allowlist bypass) và thực thi mã.
Sau khi nâng cấp lên phiên bản đã được vá, Apache khuyến cáo các tổ chức cần "cho phép rõ ràng các lớp mà bộ giải mã sẽ chấp nhận trong phiên bản ObjectSerializationDecoder".
Các quản trị viên hệ thống được khuyến nghị cập nhật lên các phiên bản mới nhất càng sớm càng tốt để ngăn chặn nguy cơ bị tấn công.
