Supporto 24/7
FAQ
 Pannello di Controllo
Saldo Account:    
Apache 2.4.67 è uscito: la vulnerabilità RCE che non puoi ignorare (soprattutto con l'hosting condiviso)

Apache 2.4.67 è uscito: la vulnerabilità RCE che non puoi ignorare (soprattutto con l'hosting condiviso)

Mag 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Martedì di Fuoco per gli Admin Apache: 11 Patch di Sicurezza

Il 4 maggio 2026, la Apache Software Foundation ha lanciato la versione 2.4.67 del suo HTTP Server. All'interno, 11 correzioni di sicurezza. Da problemi fastidiosi a rischi urgenti da tappare subito. Due in particolare colpiscono duro, a seconda del tuo setup di hosting.

Su VPS o server dedicati, una ti preoccupa. Su shared hosting con tanti clienti, ne devi risolvere due. Vediamo cosa è successo e perché agire ora.

Il Big Bug: CVE-2026-23918 e il Guasto HTTP/2 in Memoria

Il vero campanello d'allarme è CVE-2026-23918. Scoperta da Striga AI e ISEC, è una double-free nel gestore HTTP/2 di Apache. CVSS 8.8: esecuzione remota di codice, senza auth né interazioni utente.

Il meccanismo:
Un client malevolo invia un frame HTTP/2 taroccato, tipo un reset precoce di stream. Apache si impappina e libera due volte lo stesso blocco di memoria. Risultato? Heap corrotto. Un attaccante può deviare l'esecuzione e lanciare comandi sul server.

Buona notizia: colpisce solo la 2.4.66. Versioni precedenti ok. Divulgata privatamente a dicembre 2025, fix interno a gennaio. Patch pubblica solo a maggio: cinque mesi di esposizione per chi usava 2.4.66.

Nessun attacco noto in natura al 5 maggio. Ma non è il momento di rilassarsi.

Soluzione rapida: Disabilita HTTP/2 se non puoi aggiornare subito. Perde performance, ma blocca l'attacco.

L'Incubo dello Shared Hosting: CVE-2026-24072

Per chi gestisce shared hosting, CVE-2026-24072 è un disastro. Escalation di privilegi in mod_rewrite, fino alla 2.4.66. Il problema? Valutazione di espressioni ap_expr nei file .htaccess.

Sembra tecnico. In shared hosting, è letale. Ogni cliente scrive nel suo .htaccess per rewrite URL, header cache o regole di sicurezza. Un attaccante crea un'espressione furba che fa leggere file altrui, usando i permessi del processo httpd.

In soldoni: Cliente A legge config, credenziali DB, chiavi API o dati privati di Cliente B. Magari pure file di sistema del server.

Non serve root. Basta accesso write al proprio .htaccess, che tutti hanno.

Azioni Immediate

Per tutti gli utenti Apache:

  • Passa a 2.4.67 nel prossimo maintenance window.
  • Se sei su 2.4.66, priorita assoluta.
  • Rivedi policy di patching automatico: cinque mesi con RCE sono troppi.

Per provider shared hosting:

  • CVE-2026-24072 prima di tutto. Aggiorna veloce.
  • Valida .htaccess con regole strette o limita ap_expr.
  • Controlla separazione account e permessi file.
  • Disabilita espressioni mod_rewrite se non essenziali.

Per VPS e server dedicati:

  • Procedi con calma, ma non indugiare.
  • Testa 2.4.67 in staging prima del production.
  • Verifica moduli custom per compatibilità.

Prospettive Future

Cinque mesi tra disclosure privata e patch pubblica. Timeline responsabile, ma ricorda perché serve:

  1. Monitoraggio automatico vulnerabilità.
  2. Patching graduale con test.
  3. Alert real-time su nuovi CVE.

Da NameOcean, spingiamo su update automatici, ambienti di test e audit regolari. Che usi il nostro cloud hosting o il tuo infra, la sicurezza server non è opzionale.

Le patch 2.4.67 sono pronte. Muoviti. Non ripetere l'errore di altri cinque mesi esposti.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU FR ES DE DA ZH-HANS EN