Apache 2.4.67 julkaistiin: Miksi tuo RCE-haavoittuvuus pitää noteerata – varsinkin shared hostingissa
Kiireinen tiistai Apache-ylläpitäjille
- toukokuuta 2026 Apache Software Foundation julkaisi HTTP Server 2.4.67 -version. Mukana tuli 11 tietoturvapäivitystä. Ne vaihtelevat pienistä ongelmista vakaviin uhaten. Kaksi niistä erottuu joukosta, riippuen hosting-ympäristöstäsi.
Omistatko VPS:n tai dedikoidun palvelimen? Yhdessä korjauksessa on kiire. Pyöritätkö shared hostingia? Silloin kaksi vaatii nopean toiminnan. Katsotaan, mistä on kyse ja miksi tämä koskettaa juuri sinua.
Vakavin löydös: CVE-2026-23918 ja HTTP/2-muistivirhe
Tämä on se, joka herättää huomiota. Striga AI:n ja ISEC:n tutkijat paljastivat double-free-haavoittuvuuden Apache HTTP/2 -käsittelijässä. CVE-2026-23918 saa CVSS-pisteitä 8,8. Se mahdollistaa etäisen koodin suorituksen ilman kirjautumista tai muita oikeuksia.
Miten se toimii?
Hyökkääjä lähettää pahantahtoisen HTTP/2-framen, kuten "early stream reset" -viestin. Apache yrittää vapauttaa saman muistialueen kahdesti. Tuloksena heap-korruptio. Hyökkääjä voi ohjata suoritusta ja ajaa omia komentojaan palvelimellasi.
Hyvä uutinen: Vika on vain versiossa 2.4.66. Vanhemmat versiot ovat turvassa. Tutkijat ilmoittivat asiasta joulukuussa 2025. Apache korjasi sisäisesti tammikuussa. Julkinen päivitys tuli vasta nyt – viiden kuukauden ikkuna altisti käyttäjät.
Toistaiseksi ei tiedetä villistä hyväksikäytöstä 5. toukokuuta mennessä. Älä kuitenkaan viivyttele.
Tilapäinen suoja: Poista HTTP/2 käytöstä, jos päivitys viivästyy. Se hidastaa suorituskykyä, mutta torjuu tämän uhan.
Shared hostingin painajainen: CVE-2026-24072
Jos jaat palvelinta asiakkaille, tämä osuu pahasti. CVE-2026-24072 on oikeuksien korotus mod_rewrite-modulissa. Se vaikuttaa versioihin 2.4.66 asti. Ongelma on ap_expr-ilmausten käsittelyssä .htaccess-tiedostoissa.
Yksinään tekninen juttu. Shared hostingissa katastrofi.
Miksi?
Asiakkaat kirjoittavat .htaccess-tiedostoihinsa vapaasti. Tarvitaan URL-uudelleenohjauksia, välimuistia ja perussuojausta. Hyökkääjä voi väärentää ilmauksen, joka lukee muiden asiakkaiden tiedostoja httpd-prosessin oikeuksilla.
Selkokielellä: Asiakas A pääsee käsiksi asiakkaan B tietoihin – konfiguraatioihin, salasanoihin, avainiin ja dataan. Ehkä jopa järjestelmätiedostoihin.
Ei teoriapohjaista. Shared-palvelimella httpd kulkee leveillä oikeuksilla. Tarvitaan vain .htaccess-kirjoitusoikeus, joka kaikilla on.
Toimi näin heti
Kaikille Apache-käyttäjille:
- Päivitä 2.4.67:een heti ylläpitoruudussa
- Jos käytössä 2.4.66, kiire on suurin
- Tarkista automaattipäivitykset – viisi kuukautta RCE-uhkaa on liikaa
Shared hosting -operaattoreille:
- CVE-2026-24072 etusijalle, päätä nopeasti
- Rajoita .htaccess-validoinnilla tai ap_expr-käytöllä
- Tarkasta asiakaserottelu ja tiedostoluvat
- Poista mod_rewrite-ilmaukset, jos eivät ole pakollisia
VPS- ja dedikoitu palvelin -käyttäjille:
- Toimi rauhallisesti, mutta älä jätä roikkumaan
- Testaa 2.4.67 staging-ympäristössä ennen tuotantoa
- Tarkista custom-moduulien yhteensopivuus
Tulevaan katse
Huomionarvoista on viiden kuukauden viive yksityisestä ilmoituksesta julkiseen korjaukseen. Apache toimi oikein antaen aikaa valmistautua. Se muistuttaa, miksi tarvitset:
- Automaattista haavoittuvuusseurantaa infrastruktuuriisi
- Vaiheista päivitysprosessia testauksineen
- Reaaliaikaisia hälytyksiä uusista CVE:istä
NameOceanissa suosittelemme automaattipäivityksiä, testausympäristöjä ja säännöllisiä auditointeja. Oli käytössäsi cloud hostingimme tai oma infra, nämä ovat välttämättömiä.
Apache 2.4.67 on ladattavissa nyt. Tehtävälistasi on valmis. Älä anna viiden kuukauden aukon toistua.