Apache adminoknak kemény kedd: 11 biztonsági javítás érkezett

Május 4-én, 2026-ban az Apache Software Foundation kiadta a HTTP Server 2.4.67-es verzióját. Ez 11 hibajavítással érkezett, amelyek közül néhány csak bosszantó, mások azonnali patchelést követelnek. Két sérülékenység különösen figyelmet érdemel, attól függően, milyen hostingod van.

Dedicated szerveren vagy VPS-en fut Apache? Akkor egy dologra figyelj. Nagy shared hostingot üzemeltetsz? Kettőre kell ránézned. Lássuk, mi történt, és miért fontos ez neked.

A nagy dobás: CVE-2026-23918 és az HTTP/2 memória-romboló

Ez a sztori igazán komoly. A Striga AI és ISEC kutatói találtak egy double-free hibát az Apache HTTP/2 kezelőjében (CVE-2026-23918). A CVSS 8.8-as pontszám mindent elárul: távolról futtatható kódvégrehajtás, autentikáció nélkül, user interakció nélkül, extra jogok nélkül.

Így támad:

Egy rosszindulatú kliens elküld egy speciális HTTP/2 frame-et, például egy korai stream reset üzenetet. Az Apache memóriakezelője összezavarodik, kétszer szabadít fel ugyanazt a memóriablokkot. Ez heap korrupciót okoz, amit támadó kihasználva átirányíthatja a kód futását, és tetszőleges parancsokat futtathat a szervereden.

Jó hír? Csak a 2.4.66-os verzió érintett, régebbiek biztonságban. A kutatók 2025 decemberében jelezték felelősen, az Apache csapat januártól megvolt a javításuk. A nyilvános patch viszont csak most, május 4-én jött – öt hónapos ablakot nyitva 2.4.66-ra.

Május 5-ig nincs ismert vad támadás. De ne húzd az időt a patcheléssel.

Gyors mentsvár: Ha nem tudsz most frissíteni, kapcsold ki az HTTP/2-t. Nem tökéletes a sebességnek, de jobb, mint védtelenül maradni.

Shared hosting pokol: CVE-2026-24072

Itt jön a baj shared hostingnál, ahol sok ügyfél osztozik az infrastruktúrán.

A CVE-2026-24072 egy privilege escalation hiba a mod_rewrite-ban, ami a 2.4.66-ig érinti az Apache-t. A gond a ap_expr kifejezések kiértékelésével van .htaccess fájlokban. Egyedül csak technikai részletnek tűnik. Shared hostingon katasztrófa.

Miért? Mert minden ügyfél írhat a saját .htaccess-ébe.

Ez alapelvárás: URL-átírás, cache headerek, biztonsági szabályok. De egy támadó ügyfél gonosz kifejezéssel átverheti az Apache-t, hogy olvasson fájlokat a saját mappáján kívül – az httpd process jogaival.

Egyszerűen: Ügyfél A belenézhet Ügyfél B konfigjába, adatbázis jelszavába, API kulcsokba, privát infókba. Sőt, szerverrendszer fájlokba is, ha a jogosultságok engedik.

Nem elmélet. Shared szerveren az httpd process széles mappahozzáféréssel fut, root nélkül. Csak az kell, ami mindenkinek megvan: írási jog a saját .htaccess-re.

Mit tegyél most azonnal

Minden Apache üzemeltetőnek:

• Frissíts 2.4.67-re a következő maintenance window-ban
• Ha 2.4.66-ot használsz, ez sürgős prioritás
• Nézd át az automatizált patcheket – öt hónap RCE-vel túl sok

Shared hosting szolgáltatóknak:

• CVE-2026-24072 a fő célpont, patchelj minél előbb
• Szigorúbb .htaccess validáció vagy ap_expr korlátozás ügyfél fájlokban
• Ellenőrizd az ügyfél szeparációt, fájl jogosultságokat
• Ha nem kell, kapcsold ki a mod_rewrite kifejezéseket

VPS és dedicated üzemeltetőknek:

• Lehetsz nyugodtabb, de ne késlekedj
• Teszteld a 2.4.67-et stagingben, mielőtt productionra mész
• Nézd meg custom modulok kompatibilitását

Mi jön még

Figyelemre méltó az öt hónapos különbség a privát bejelentés és a公開 patch között. Az Apache felelősségteljesen kezeli – időt ad a felkészülésre –, de ez mutatja, miért kell neked:

1. Automatizált sérülékenység figyelés az infrastruktúrán
2. Lépcsőzetes patchezés teszttel előtte
3. Valós idejű CVE riasztók

NameOceannél azt javasoljuk: automatizált frissítések, tesztkörnyezetek és rendszeres auditok a szerverbiztonsághoz. Cloud hostingunkkal vagy saját infraoddal, ezek nélkülözhetetlenek.

A 2.4.67-es patchek letölthetők. Cselekedj most, ne várd meg a következő öt hónapot ezekkel a lyukakkal.