Wsparcie 24/7
FAQ
 Pulpit
Saldo konta:    
Apache 2.4.67 wyszedł: ta luka RCE to alarm dla shared hostingu!

Apache 2.4.67 wyszedł: ta luka RCE to alarm dla shared hostingu!

Maj 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Gorący wtorek z poprawkami bezpieczeństwa dla adminów Apache

4 maja 2026 roku Apache Software Foundation wypuścił wersję HTTP Server 2.4.67. W pakiecie 11 poprawek bezpieczeństwa. Od drobnych usterek po te, które wymagają natychmiastowej reakcji. Dwie luki szczególnie bolą – w zależności od twojego setupu hostingowego.

Masz VPS lub dedykowany serwer? Jedna sprawa cię dotyczy. Prowadzisz shared hosting dla wielu klientów? Martw się o dwie. Rozbijmy to na części i zobaczmy, dlaczego to ważne.

Gwoźdź programu: CVE-2026-23918 i błąd z pamięcią w HTTP/2

To poważna sprawa. Badacze z Striga AI i ISEC znaleźli double-free w obsłudze HTTP/2 (CVE-2026-23918). Ocena CVSS 8.8 – to remote code execution bez autentykacji, interakcji czy wysokich praw.

Jak to działa?

Złośliwy klient wysyła specjalny frame HTTP/2 – "early stream reset". Apache gubi się w zarządzaniu pamięcią. Wolna ten sam blok dwa razy, co psuje heap. Atakujący może przejąć kontrolę i odpalić dowolny kod na serwerze.

Dobra wiadomość? Dotyczy tylko 2.4.66. Starsze wersje bezpieczne. Zgłoszono to prywatnie w grudniu 2025, fix gotowy w styczniu. Publiczna łatka dopiero teraz – pięć miesięcy ekspozycji.

Na razie brak ataków w dzikiej przyrodzie. Ale nie zwlekaj z patchem.

Szybka obrona: Wyłącz HTTP/2, jeśli nie dasz rady zaktualizować od razu. Performance web spadnie, ale lepiej niż dziura otwarta na oścież.

Koszmar shared hostingu: CVE-2026-24072

Tu shared hosting dostaje po głowie. CVE-2026-24072 to eskalacja przywilejów w mod_rewrite, do 2.4.66 włącznie. Problem w ewaluacji ap_expr przy .htaccess.

Brzmi technicznie? W sharedzie to bomba.

Dlaczego?

Klienci piszą do swoich .htaccess. Standard. Potrzebują tego do redirectów, cache czy reguł bezpieczeństwa. Atakujący z dostępem do pliku robi złośliwy ap_expr. Apache czyta pliki spoza katalogu klienta – pod prawami procesu httpd.

Prosto: Klient A czyta dane Klienta B. Hasła do bazy, klucze API, configi. Może nawet pliki systemowe serwera.

Nie teoria. Proces httpd ma szeroki dostęp do katalogów. Wystarczy pisanie do .htaccess – co każdy klient ma.

Co robić natychmiast

Dla wszystkich z Apache:

  • Zaktualizuj do 2.4.67 w najbliższym oknie
  • 2.4.66? Działaj błyskawicznie
  • Sprawdź politykę auto-patchingów – pięć miesięcy z RCE to za długo

Dla providerów shared hostingu:

  • CVE-2026-24072 na czele. Patchuj ASAP
  • Waliduj .htaccess, ogranicz ap_expr
  • Przejrzyj separację kont, permisje plików
  • Rozważ wyłączenie mod_rewrite expr, jeśli niepotrzebne

Dla VPS i dedykowanych:

  • Spokojniej, ale nie odkładaj
  • Testuj 2.4.67 na stagingu przed prodem
  • Sprawdź custom moduły pod kompatybilność

Co dalej

Pięć miesięcy od prywatnego zgłoszenia do patchy – standard, ale lekcja. Potrzebujesz:

  1. Auto-monitoringu luk w infrastrukturze
  2. Etapowych update'ów z testami
  3. Alertów na nowe CVE w realtime

W NameOcean radzimy: auto-update'y, staging i audyty. Bez względu na hosting – cloud czy własny – to podstawa.

Patche 2.4.67 czekają. Działaj, zanim minie kolejne pięć miesięcy z dziurami.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT NB NL HU IT FR ES DE DA ZH-HANS EN