Martes de locos para admins de Apache: 11 parches de seguridad

El 4 de mayo de 2026, la Apache Software Foundation soltó la versión 2.4.67 de su HTTP Server. Trae 11 correcciones de seguridad. Van desde fallos menores hasta urgencias que no puedes ignorar. Dos de ellas pegan fuerte según tu setup de hosting.

Si manejas un VPS o servidor dedicado, ojo con uno en particular. En shared hosting a gran escala, dos te van a dar dolor de cabeza. Vamos al grano: qué pasó y por qué actualizar ya.

El que se lleva los titulares: CVE-2026-23918 y el fallo de memoria en HTTP/2

Este es el serio de verdad. Investigadores de Striga AI e ISEC hallaron un double-free en el manejador de HTTP/2 de Apache (CVE-2026-23918). Su puntuación CVSS de 8.8 lo dice todo: permite ejecución remota de código sin autenticación ni privilegios extras.

Así funciona:

Un cliente malicioso envía un frame HTTP/2 trucado, como un "reset temprano de stream". Apache se enreda y libera el mismo bloque de memoria dos veces. Eso corrompe el heap. Un atacante listo puede redirigir el flujo y ejecutar comandos a su antojo.

Lo positivo: solo afecta a la 2.4.66. Versiones anteriores están limpias. Lo reportaron en diciembre de 2025. Apache lo parcheó internamente en enero, pero el fix público llegó en mayo. Cinco meses de exposición para usuarios de 2.4.66.

Hasta el 5 de mayo, no hay exploits en la naturaleza. Pero no te confíes. Actualiza.

Opción rápida: Desactiva HTTP/2 si no puedes parchear ya. Baja el rendimiento web, pero cierra la puerta a este ataque mientras preparas el update.

La pesadilla del shared hosting: CVE-2026-24072

Aquí duele más si alojas sitios de varios clientes en el mismo server.

CVE-2026-24072 es un escalado de privilegios en mod_rewrite, hasta la 2.4.66. El problema está en cómo evalúa expresiones ap_expr al procesar archivos .htaccess. Suena técnico, pero en shared hosting es un desastre.

¿Por qué? Todos tus clientes escriben en sus .htaccess.

Es lo normal. Les das control para rewrites de URL, headers de cache o reglas básicas de seguridad. Un atacante usa eso para crear una expresión que lee archivos ajenos, con los privilegios del proceso httpd.

En criollo: el cliente A accede a configs de B, credenciales de DB, keys de API o datos privados. Hasta archivos del sistema, según permisos.

No es teoría. En shared, httpd corre con acceso amplio a directorios. No hace falta root. Solo write en su propio .htaccess.

Acciones inmediatas

Para todos los que usan Apache:

• Sube a 2.4.67 en tu próxima ventana de mantenimiento.
• Si estás en 2.4.66, corre.
• Revisa tus políticas de parches automáticos. Cinco meses con un RCE es demasiado.

Para proveedores de shared hosting:

• Prioriza CVE-2026-24072. Parchea ya.
• Valida .htaccess con más rigor o limita ap_expr.
• Audita separación de cuentas y permisos entre usuarios.
• Desactiva expresiones de mod_rewrite si no las usan.

Para VPS y servidores dedicados:

• Ve con calma, pero no te demores.
• Prueba 2.4.67 en staging antes de producción.
• Chequea módulos custom por compatibilidad.

Lecciones para el futuro

Lo clave es ese delay de cinco meses entre disclosure privado y parche público. Es responsable, da tiempo para prepararse. Pero grita que necesitas:

1. Monitoreo automático de vulnerabilidades en tu infra.
2. Procesos de parches por etapas con tests previos.
3. Herramientas de alertas para CVEs frescos.

En NameOcean, insistimos en seguridad server con updates automáticos, entornos de prueba y audits regulares. Sea nuestro cloud hosting o tu propia infra, es obligatorio.

Los parches de 2.4.67 están listos. Muévete. No repitas esos cinco meses expuesto.