24/7-Support
FAQ
 Dashboard
Kontoguthaben:    
Apache 2.4.67 ist da: Diese RCE-Lücke im Shared Hosting nicht unterschätzen!

Apache 2.4.67 ist da: Diese RCE-Lücke im Shared Hosting nicht unterschätzen!

Mai 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Dringender Sicherheits-Update für Apache-Betreiber

Am 4. Mai 2026 hat die Apache Software Foundation die Version 2.4.67 ihres HTTP Servers veröffentlicht. Dazu gehören elf Sicherheitsfixes – von harmlosen Macken bis zu echten Gefahren. Zwei Lücken stechen besonders heraus, je nach deinem Setup.

Bei einem eigenen VPS oder Dedicated Server musst du eine beachten. Bei Shared Hosting sind es gleich zwei. Schauen wir uns an, was passiert ist und warum du handeln solltest.

Der große Schocker: CVE-2026-23918 und der HTTP/2-Fehler

Das ist der Hammer. Forscher von Striga AI und ISEC haben in der HTTP/2-Implementierung eine Double-Free-Lücke gefunden (CVE-2026-23918). CVSS-Score: 8,8. Das bedeutet Remote Code Execution ohne Login, ohne Klick – einfach so.

So läuft der Angriff:

Ein bösartiger Client schickt ein manipuliertes HTTP/2-Frame, z. B. ein "early stream reset". Apache verliert den Überblick und gibt denselben Speicherbereich zweimal frei. Heap-Korruption folgt. Ein Angreifer kann das nutzen, um Code umzuleiten und Befehle auszuführen.

Positiv: Nur Version 2.4.66 ist betroffen, ältere nicht. Die Meldung kam im Dezember 2025, Fix intern im Januar. Öffentlich erst jetzt – fünf Monate Risikozeit.

Bislang keine Angriffe im Wild bekannt. Trotzdem: Sofort patchen!

Sofortmaßnahme: HTTP/2 deaktivieren, bis das Update läuft. Performance leidet, aber besser als offen daliegen.

Das Shared-Hosting-Desaster: CVE-2026-24072

Hier wird's für Multi-Tenant-Provider richtig übel.

CVE-2026-24072 ist eine Escalation-Lücke in mod_rewrite, bis 2.4.66. Problem: ap_expr-Ausdrücke in .htaccess-Dateien werden falsch geprüft. Klingt technisch? In Shared Hosting explodiert das.

Warum? Jeder Kunde schreibt in seine .htaccess.

Standard für Rewrites, Caching oder Schutzregeln. Ein Angreifer bastelt einen Expr, der Apache täuscht. Der liest Dateien außerhalb des eigenen Ordners – mit httpd-Rechten.

Einfach gesagt: Kunde A greift auf Kunde B's Configs, DB-Passwörter, Keys oder Systemdateien zu. Kein Root nötig, nur .htaccess-Zugriff.

Dein Aktionsplan

Für alle Apache-Nutzer:

  • Auf 2.4.67 updaten, sobald möglich
  • Bei 2.4.66: Höchste Priorität
  • Automatisierte Patches prüfen – fünf Monate RCE sind zu viel

Für Shared Hosting:

  • CVE-2026-24072 zuerst fixen
  • .htaccess strenger validieren oder ap_expr einschränken
  • Account-Trennung auditieren, Permissions checken
  • mod_rewrite-Exprs deaktivieren, wenn nicht essenziell

Für VPS/Dedicated:

  • Etwas entspannter, aber nicht zögern
  • In Staging testen vor Prod
  • Custom-Module auf Kompatibilität prüfen

Fazit und Ausblick

Fünf Monate bis zum public Patch – das zeigt: Verantwortungsvolle Disclosure ist gut, aber du brauchst Vorbereitung.

Deshalb empfehle ich:

  1. Auto-Monitoring für Vulns
  2. Staged Rollouts mit Tests
  3. Echtzeit-CVE-Alerts

Bei NameOcean sorgen automatisierte Updates, Test-Umgebungen und Audits für Sicherheit. Egal ob unser Cloud Hosting oder dein eigener Stack – das ist Pflicht.

Die Patches sind da. Handle jetzt, bevor die nächste Lücke zuschlägt.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DA ZH-HANS EN