24/7 Support
FAQ
 Dashbord
Kontosaldo:    
Apache 2.4.67 ute: Hvorfor denne RCE-sårbarheten krever alarm (spesielt på shared hosting)

Apache 2.4.67 ute: Hvorfor denne RCE-sårbarheten krever alarm (spesielt på shared hosting)

Mai 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Travelt sikkerhetstirsdag for Apache-brukere

Den 4. mai 2026 slapp Apache Software Foundation versjon 2.4.67 av HTTP Server. Oppdateringen fikser 11 sikkerhetshull – fra middels irriterende til akutt "oppdatér nå". To av dem stikker seg ut, avhengig av din hosting-løsning.

Kjører du VPS eller dedikert server? Da er ett hull kritisk. Driver du shared hosting? Da gjelder det to. La oss se på hva som skjedde og hvorfor det rammer deg.

Den store grabberen: CVE-2026-23918 og HTTP/2-minnefeilen

Dette er det verste. Forskere fra Striga AI og ISEC fant en double-free-feil (CVE-2026-23918) i HTTP/2-håndteringen. CVSS-score på 8.8 betyr remote code execution – uten autentisering eller brukerveiledning.

Slik fungerer det:

En angriper sender et skreddersydd HTTP/2-ramme, som en tidlig stream-reset. Apache frigjør da samme minnebit to ganger. Heapen ødelegges, og angriperen kan kapre kontrollen for å kjøre egne kommandoer.

God nyhet: Bare 2.4.66 rammes. Eldre versjoner er trygge. Feilen ble rapportert desember 2025, fikset internt i januar. Offentlig patch kom ikke før mai – fem måneder med eksponering.

Ingen kjente angrep i det fri per 5. mai. Likevel: Oppdater raskt.

Rask fiks: Slå av HTTP/2 midlertidig. Ikke optimalt for ytelse, men bedre enn å vente.

Shared hosting-helvete: CVE-2026-24072

Her blir det ekstra stygt for deg med flere kunder på samme server.

CVE-2026-24072 er en privilege escalation i mod_rewrite, som rammer opp til 2.4.66. Feilen sitter i hvordan ap_expr-uttrykk tolkes i .htaccess-filer. Høres teknisk ut? På shared hosting er det en bombe.

Hvorfor?

Kunder skriver til sine egne .htaccess-filer som standard – for redirects, caching og sikkerhet. Men en angriper kan lage et ondsinnet uttrykk som lar Apache lese filer utenfor kundens mappe. Med httpd-prosessens rettigheter.

Kort sagt: Kunde A leser kunde Bs database-passord, API-nøkler eller private filer. Kanskje til og med systemfiler, hvis tillatelsene tillater det.

Ingen root nødvendig. Bare .htaccess-skriveadgang, som alle har.

Hva du må gjøre i dag

Til alle Apache-drivere:

  • Oppdater til 2.4.67 i nærmeste vedlikeholdsvindu
  • 2.4.66-brukere: Høyeste prioritet
  • Sjekk automatiske patch-rutiner – fem måneder med RCE er for lenge

Til shared hosting-leverandører:

  • CVE-2026-24072 først. Patch fort
  • Valider .htaccess-filer strengere eller begrens ap_expr
  • Sjekk kundeisolering og filrettigheter
  • Vurder å slå av mod_rewrite-uttrykk hvis ikke essensielt

Til VPS- og dedikert-server-folk:

  • Ta det litt roligere, men ikke utsett
  • Test 2.4.67 i staging først
  • Sjekk egne moduler for kompatibilitet

Fremtiden

Fem måneder fra privat melding til offentlig patch viser svakhetene. Apache håndterer det ansvarlig, men du trenger:

  1. Automatisk CVE-overvåking
  2. Trinnvis patching med testing
  3. Alarmer for nye trusler

Hos NameOcean anbefaler vi automatiske oppdateringer, testmiljøer og regelmessige audits – uansett om du bruker vår cloud hosting eller din egen stack. Patchene er klare. Handle nå. Ikke ris en ny femmåneders-periode.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NL HU IT FR ES DE DA ZH-HANS EN