Podpora 24/7
FAQ
 Ovládací panel
Zůstatek účtu:    
Apache 2.4.67 venku: Proč si ten RCE děravý spotřebovávat na radar (hlavně na shared hostingu)

Apache 2.4.67 venku: Proč si ten RCE děravý spotřebovávat na radar (hlavně na shared hostingu)

Kvě 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Chaotický bezpečnostní utorok pro adminy Apache

Dne 4. května 2026 vydala Apache Software Foundation novou verzi HTTP Serveru 2.4.67. S sebou přinesla hned 11 bezpečnostních záplat. Některé jsou jen drobné potíže, jiné vyžadují okamžitou akci. Dvě z nich stojí za extra pozornost – záleží na tom, jestli řídíte VPS nebo sdílený hosting.

Na dedikovaném serveru nebo VPS se soustřeďte na jednu díru. Při velkém sdíleném hostingu hrozí dvě. Pojďme se podívat, co se stalo a proč to není na vyplacení.

Největší hit: CVE-2026-23918 a chyba v HTTP/2 paměti

Tady to začíná být vážné. Výzkumníci ze Striga AI a ISEC našli v ovladači HTTP/2 protokolu double-free chybu (CVE-2026-23918). Skóre CVSS 8.8 říká vše: jde o RCE bez autentizace, bez klikání uživatele a bez extra práv.

Jak to funguje:

Zlomový klient pošle upravený HTTP/2 frame – konkrétně "early stream reset". Apache se ztratí v správě paměti, uvolní stejný blok dvakrát a naruší heap. Útočník pak může přesměrovat kód a spustit cokoli na serveru.

Dobrá zpráva? Chyba je jen v 2.4.66. Starší verze jsou v bezpečí. Problém odhalili v prosinci 2025, fix byl interně hotový v lednu. Veřejná záplata přišla až teď – pět měsíců rizika pro uživatele 2.4.66.

Zatím žádný útok v divočině. Přesto neotálejte s patchem.

Rychlá obrana: Vypněte HTTP/2 úplně. Není to top pro rychlost webu, ale lepší než čekat s otevřenou dírou.

Noční můra sdíleného hostingu: CVE-2026-24072

Pro provozovatele sdíleného hostingu je to ještě horší.

CVE-2026-24072 je eskalace práv v mod_rewrite, platí do 2.4.66. Problém je v tom, jak mod_rewrite zpracovává ap_expr výrazy v .htaccess souborech. Na papíře nudné. V praxi katastrofa.

Proč? Každý zákazník píše do .htaccess.

To je standard. Potřebují rewrite URL, hlavičky pro cache nebo bezpečnost. Ale útočník s přístupem k .htaccess napíše výraz, který donutí Apache číst soubory mimo svůj adresář – pod právy httpd procesu.

Jednoduše: Zákazník A si může prohlédnout configy, databázové hesla, API klíče nebo data zákazníka B. Při špatných právech i systémové soubory serveru.

Není to teorie. Httpd běží s širokým přístupem k adresářům. Stačí zápis do vlastního .htaccess.

Co dělat hned teď

Pro všechny s Apache:

  • Upgradujte na 2.4.67 v nejbližším okne
  • Pokud máte 2.4.66, jděte na to okamžitě
  • Zkontrolujte automatické patche – pět měsíců s RCE je moc

Pro sdílený hosting:

  • CVE-2026-24072 na prvním místě, patchejte rychle
  • Zvažte kontrolu .htaccess souborů nebo omezení ap_expr
  • Prověřte oddělení účtů a práva souborů
  • Pokud zákazníci nepotřebují, vypněte výrazy v mod_rewrite

Pro VPS a dedikované servery:

  • Můžete testovat, ale neprokrastujte
  • Vyzkoušejte 2.4.67 na stagingu před produkcí
  • Podívejte se na kompatibilitu vlastních modulů

Co z toho plyne

Pět měsíců od soukromého hlášení k patchi ukazuje realitu. Apache dal čas na přípravu, ale vy potřebujete:

  1. Automatické sledování zranitelností
  2. Testování patche před nasazením
  3. Alerty na nové CVE

V NameOcean radíme kombinovat auto-updaty, testovací prostředí a pravidelné audity. Ať už naše cloud hosting nebo vlastní infra, bezpečnost je základ.

Záplaty 2.4.67 jsou venku. Jednejte. Nečekejte dalších pět měsíců s dírami.

Read in other languages:

RU BG EL UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN