Apache HTTP Server 2.4.26がリリースされた (2017-06-19)。

少なくとも5件
    * important: ap_get_basic_auth_pw() Authentication Bypass CVE-2017-3167
    * important: mod_ssl Null Pointer Dereference CVE-2017-3169
    * important: mod_http2 Null Pointer Dereference CVE-2017-7659
    * important: ap_find_token() Buffer Overread CVE-2017-7668
    * important: mod_mime Buffer Overread CVE-2017-7679
のセキュリティー修正が見える。

HTTP/2のモジュールが、「実験」から「製品」段階に昇格。
- - - - - - - -
PS 2017-07-22
3DESが、2.4.26のmod_sslの既定の暗号法 (ciphersuites) から外れた。Sweet32対策だろう。
OpenSSL 1.1.0系列のサポートが開始されたようだ。
[参考リンク]
セキュリティホールmemo