24/7 поддръжка
ЧЗВ
 Контролен панел
Салдо на сметка:    
Apache 2.4.67 излезе: Защо тази RCE дупка трябва да ви притеснява (особено при shared hosting)

Apache 2.4.67 излезе: Защо тази RCE дупка трябва да ви притеснява (особено при shared hosting)

Май 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Тревожен ден за сигурността в Apache – админи, действайте бързо!

На 4 май 2026 г. Apache Software Foundation пусна версия 2.4.67 на HTTP Server. С нея дойдоха 11 поправки за сигурностни дупки – от леки проблеми до критични, които изискват незабавно действие. Две уязвимости особено ще ви притеснят, в зависимост от вашия хостинг.

Ако управлявате VPS или dedicated server, фокусирайте се върху една. При shared хостинг на голям мащаб – върху две. Ще ви разкажа какво се случи и защо е важно.

Главният проблем: CVE-2026-23918 и грешката в HTTP/2

Това е сериозната работа. Експерти от Striga AI и ISEC откриха double-free уязвимост (CVE-2026-23918) в HTTP/2 модула на Apache. CVSS 8.8 – това значи remote code execution без нужда от логин, кликване или права.

Как действа?

Злонамерен клиент изпраща специален HTTP/2 frame – "early stream reset". Apache обърква паметта и освобождава един и същ блок два пъти. Това разваля heap-а и атакуващият може да пренасочи изпълнението на код, за да стартира команди на сървъра.

Доброто? Засяга само 2.4.66. По-стари версии са чисти. Откриха я през декември 2025 г., поправката е готова от януари, но публичната версия излезе чак на 4 май. Пет месеца експозиция за потребителите на 2.4.66.

Досега няма потвърдени атаки в дивото. Но не чакайте.

Бързо решение: Изключете HTTP/2, докато не апдейтнете. Не е идеално за скоростта, но по-добре от риск.

Кошмарът за shared хостинг: CVE-2026-24072

Тук започват главоболията за хостинг доставчици с много клиенти на един сървър.

CVE-2026-24072 е privilege escalation в mod_rewrite, до 2.4.66. Проблемът е в оценяването на ap_expr изрази при .htaccess файлове. Само звучи технично, но в shared хостинг е катастрофа.

Защо? Всеки клиент пише в собствения си .htaccess.

Това е стандарт – те настройват rewrite правила, кеширане, сигурност. Атакуващ с достъп до .htaccess може да създаде израз, който кара Apache да чете файлове извън директорията му – с правата на httpd процеса.

Прекратено: Клиент А вижда конфиги, бази данни, API ключове и данни на Клиент Б. Дори системни файлове, ако правата позволяват. Не трябва root – само .htaccess write, което всички имат.

Какво да правите още днес

За всички с Apache:

  • Апдейтнете до 2.4.67 при първия maintenance window
  • Ако сте на 2.4.66 – спешно!
  • Проверете автоматичните patching политики – пет месеца RCE е прекалено

За shared хостинг:

  • CVE-2026-24072 е номер едно. Пачвайте веднага
  • Въведете проверка на .htaccess или ограничете ap_expr
  • Аудит на разделението между акаунти – строги permissions
  • Изключете mod_rewrite изрази, ако не са нужни

За VPS и dedicated:

  • Не бързайте прекалено, но не отлагайте
  • Тествайте 2.4.67 в staging преди production
  • Проверете custom модули за съвместимост

Какво следва

Интересното е петмесечният интервал между privately disclosure и публична поправка. Разумно е – дава време за подготовка – но показва защо ви трябват:

  1. Автоматичен мониторинг на уязвимости
  2. Стъпка по стъпка patching с тестове
  3. Аларми за нови CVE в реално време

В NameOcean препоръчваме комбо от auto updates, test среди и редовни аудити. Дали ползвате нашия cloud хостинг или свой – това е задължително.

Поправките за 2.4.67 са готови. Действайте, преди да минат още пет месеца с дупки.

Read in other languages:

RU EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN