Support 24/7
OSS
 Kontrolpanel
Kontosaldo:    
Apache 2.4.67 er ude: Den her RCE-hul skal du holde øje med (især på shared hosting)

Apache 2.4.67 er ude: Den her RCE-hul skal du holde øje med (især på shared hosting)

Maj 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Travl sikkerhedsdag for Apache-brugere

Den 4. maj 2026 udkom Apache Software Foundation med HTTP Server 2.4.67. Opdateringen fikser 11 sikkerhedshuller – fra irriterende fejl til akutte trusler, der kræver øjeblikkelig handling. To af dem stikker særligt ud, afhængig af din serveropsætning.

Har du en dedikeret server eller VPS? Så er en enkelt sårbarhed din største bekymring. Driver du shared hosting med mange kunder? Så skal du holde øje med to. Lad os dykke ned i det.

Den store nyhed: CVE-2026-23918 og HTTP/2-minnefejl

Denne er alvorlig. Forskere fra Striga AI og ISEC fandt en double-free fejl i HTTP/2-håndteringen – CVE-2026-23918. CVSS-score på 8.8 siger det hele: Det er en remote code execution, der ikke kræver login, brugerinteraktion eller specielle rettigheder.

Sådan virker det:

En angriber sender et manipuleret HTTP/2-frame, som en "early stream reset". Apache forvirres og frigiver samme hukommelsesblok dobbelt op. Det ødelægger heap'et, og angriberen kan overtage kontrol og køre vilkårlige kommandoer.

Godt at vide: Kun version 2.4.66 er ramt. Ældre versioner er sikre. Fejlen blev rapporteret i december 2025, og Apache havde en intern patch klar i januar. Først i maj kom den offentlige udgave – fem måneders eksponering for 2.4.66-brugere.

Indtil 5. maj ingen kendte angreb i det fri. Men vent ikke med at patch'e.

Hurtig løsning: Slå HTTP/2 fra midlertidigt. Det rammer webhastigheden, men blokerer angrebet, mens du opdaterer.

Shared hosting-helvedet: CVE-2026-24072

Her bliver det ekstra vildt for shared hosting-udbydere.

CVE-2026-24072 er en privilege escalation i mod_rewrite, der rammer op til 2.4.66. Problemet sidder i håndteringen af ap_expr-udtryk i .htaccess-filer. Lyt godt: På shared hosting kan kunderne skrive til deres egne .htaccess-filer.

Hvorfor er det farligt?

En angriber laver et ondt udtryk, der nar Apache til at læse filer uden for kundens mappe – med httpd-processens rettigheder. Pludselig kan kunde A læse kunde Bs konfig, database-adgangskoder, API-nøgler eller serverfiler.

Ingen root nødvendigt. Httpd kører ofte med bred adgang på shared servere. Det er en reel trussel.

Hvad gør du nu?

Til alle Apache-drivere:

  • Opdater til 2.4.67 i næste vedligeholdelsesvindue
  • 2.4.66-brugere: Gør det øjeblikkeligt
  • Tjek dine automatiske patch-rutiner – fem måneder er for længe med RCE

Til shared hosting-udbydere:

  • CVE-2026-24072 er topprioritet
  • Valider .htaccess-filer hårdere eller begræns ap_expr
  • Gennemgå kontoadskillelse og filrettigheder
  • Overvej at slå mod_rewrite-udtryk fra, hvis kunderne ikke har brug for dem

Til VPS og dedikerede servere:

  • Tag det roligt, men udsæt det ikke
  • Test 2.4.67 i staging først
  • Tjek kompatibilitet med egne moduler

Fremtiden

Fem måneders ventetid mellem privat rapport og offentlig patch viser, hvad du skal have:

  1. Automatisk overvågning af sårbarheder
  2. Trinvis patching med test
  3. Alarmer ved nye CVEs

Hos NameOcean anbefaler vi automatiske opdateringer, testmiljøer og regelmæssige audits – uanset om du bruger vores cloud hosting eller din egen infra. Det er et must.

Patchet er klar nu. Grib chancen, før næste fem måneder rammer.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE ZH-HANS EN