В SELECTOS исправили критическую уязвимость CVE-2026-49975, позволявшую исчерпать память сервера

Команда SELECTOS сообщила об исправлении критической уязвимости CVE-2026-49975, затрагивающей веб-серверы nginx и Apache. Проблема позволяла злоумышленнику вызвать отказ в обслуживании (DoS), полностью исчерпав память сервера всего за несколько секунд.

Уязвимость проявлялась в конфигурации по умолчанию при включённых TLS и HTTP/2. Для атаки не требовалась аутентификация — достаточно было отправить специально сформированный запрос. Это делало её особенно опасной для публичных серверов.

Разработчики операционной системы оперативно выпустили обновление, которое закрывает брешь. Пользователям рекомендуется как можно скорее установить патч, чтобы предотвратить возможные атаки.

Отметим, что SELECTOS — это специализированная ОС, созданная компанией Selectel для облачной инфраструктуры. Уязвимость была обнаружена и устранена в рамках внутреннего аудита безопасности.

Эксперты по кибербезопасности подчёркивают важность своевременного обновления серверного ПО, особенно если на серверах используются устаревшие версии nginx или Apache с поддержкой HTTP/2.