24/7 ondersteuning
Veelgestelde vragen
 Dashboard
Accountsaldo:    
Apache 2.4.67 is uit: waarom die RCE-kwetsbaarheid je radar verdient (vooral bij shared hosting)

Apache 2.4.67 is uit: waarom die RCE-kwetsbaarheid je radar verdient (vooral bij shared hosting)

Mei 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Drukke beveiligingsdag voor Apache-beheerders

Op 4 mei 2026 rolde de Apache Software Foundation versie 2.4.67 van de HTTP Server uit. Daarmee fiksten ze meteen elf beveiligingslekken, variërend van lichte irritaties tot must-patch-nu-problemen. Twee daarvan springen eruit, afhankelijk van je setup.

Run je een dedicated server of VPS? Dan focus je op één groot gevaar. Bij shared hosting met veel klanten? Dan zijn er twee issues die je wakker houden. We duiken erin en leggen uit waarom dit telt.

De grote schrik: CVE-2026-23918 en de HTTP/2-memoryfout

Dit is het serieuze werk. Onderzoekers van Striga AI en ISEC vonden een double-free bug (CVE-2026-23918) in de HTTP/2-handler van Apache. Met een CVSS-score van 8.8 is het een remote code execution-lek zonder login, interactie of extra rechten nodig.

Zo gaat het mis:

Een kwaadwillende client stuurt een gemanipuleerd HTTP/2-frame, zoals een 'early stream reset'. Daardoor raakt de memory management in de war. Apache probeert hetzelfde geheugengebied twee keer vrij te geven, wat de heap corrumpeert. Een slimme aanvaller kan dat misbruik voor code-uitvoering en eigen commando's op je server.

Gelukkig zit dit alleen in 2.4.66; oudere versies zijn veilig. De ontdekkers meldden het eind 2025 verantwoordelijk, en Apache had een interne fix in januari. Maar pas op 4 mei kwam de publieke patch—vijf maanden kwetsbaar voor 2.4.66-gebruikers.

Nog geen exploits in het wild gespot op 5 mei. Toch: patch direct.

Tijdelijke fix: Schakel HTTP/2 uit tot je kunt updaten. Niet top voor prestaties, maar beter dan openstaan.

Hel voor shared hosting: CVE-2026-24072

Voor shared hosting wordt het echt spannend.

CVE-2026-24072 is een privilege escalation in mod_rewrite, actief tot 2.4.66. Het probleem zit in hoe ap_expr-expressies worden geëvalueerd bij .htaccess-bestanden. Klinkt technisch, maar op shared servers is het rampzalig.

Waarom? Klanten schrijven zelf naar .htaccess.

Dat is normaal: ze willen URL-rewrites, cache-regels of beveiliging instellen. Maar een aanvaller kan een sluwe expressie maken die Apache laat lezen buiten hun map—met de rechten van de httpd-process.

Eenvoudig gezegd: Klant A leest mogelijk config, database-wachtwoorden, API-keys of data van Klant B. Zelfs systeembestanden, afhankelijk van rechten.

Geen root nodig. Gewoon .htaccess-toegang, wat iedereen heeft. De httpd-process heeft vaak brede directory-toegang op shared servers.

Actieplan voor vandaag

Voor elke Apache-gebruiker:

  • Upgrade naar 2.4.67 in je eerstvolgende maintenance window
  • Bij 2.4.66: doe het nú
  • Check je auto-patch-beleid—vijf maanden RCE is te lang

Voor shared hosting-aanbieders:

  • Prioriteer CVE-2026-24072 en patch snel
  • Voeg validatie toe voor .htaccess of beperk ap_expr
  • Controleer scheiding tussen klantaccounts en permissions
  • Overweeg mod_rewrite-expressies uit te zetten als niet essentieel

Voor VPS- en dedicated-beheerders:

  • Neem iets meer tijd, maar wacht niet te lang
  • Test 2.4.67 eerst in staging
  • Check custom modules op compatibiliteit

Wat nu?

Opvallend: vijf maanden tussen privé-melding en patch. Verantwoord, want het geeft tijd om te prepperen. Maar het onderstreept waarom je dit nodig hebt:

  1. Automatische CVE-monitoring op je infra
  2. Gestagede patch-processen met testen vooraf
  3. Real-time alerts voor nieuwe lekken

Bij NameOcean pushen we voor auto-updates, test-omgevingen en audits. Of je nu onze cloud hosting pakt of zelf beheert: beveiliging is basis.

De 2.4.67-patches staan klaar. Pak door, en voorkom zo'n vijfmaands-risico.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN