Suport 24/7
FAQ
 Tablou de bord
Soldul Contului:    
Apache 2.4.67 lansat: De ce vulnerabilitatea RCE asta îți pune serverul în pericol (mai ales pe shared hosting)

Apache 2.4.67 lansat: De ce vulnerabilitatea RCE asta îți pune serverul în pericol (mai ales pe shared hosting)

Mai 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Marți aglomerată cu securitate pentru adminii Apache

Pe 4 mai 2026, Apache Software Foundation a lansat versiunea 2.4.67 a HTTP Server. Au venit cu 11 corecții de securitate. Unele sunt minore. Altele cer patch imediat. Două vulnerabilități ies în evidență, în funcție de setup-ul tău de hosting.

Pe VPS sau server dedicat, ai o grijă principală. La shared hosting cu mulți clienți, ai două probleme serioase. Hai să descompunem ce s-a întâmplat și de ce contează.

Vulnerabilitatea care face valuri: CVE-2026-23918 și eroarea HTTP/2

Aici devine grav. Cercetători de la Striga AI și ISEC au găsit un double-free în handler-ul HTTP/2 din Apache. CVE-2026-23918 are scor CVSS 8.8. E RCE la distanță, fără autentificare sau privilegii speciale.

Cum funcționează:

Un client rău trimite un frame HTTP/2 special – un reset timpuriu de stream. Apache confundă memoria. Eliberează de două ori același bloc. Heap-ul se corupe. Atacatorul poate deturna execuția și rula comenzi arbitrare.

Vestea bună? Doar 2.4.66 e afectată. Versiunile anterioare scapă. Dezvăluirea a fost în decembrie 2025. Fixul intern era gata în ianuarie. Patch-ul public a venit abia pe 4 mai – cinci luni de expunere.

Până pe 5 mai, nu sunt atacuri confirmate în sălbăticie. Totuși, nu amâna patch-ul.

Soluție rapidă: Dezactivează HTTP/2 dacă nu poți updata acum. Nu e ideal pentru performanță, dar blochează vectorul ăsta.

Coșmarul shared hosting-ului: CVE-2026-24072

Aici devine haos pe servere cu clienți multipli.

CVE-2026-24072 e escaladare de privilegii în mod_rewrite, până la 2.4.66. Problema e în evaluarea ap_expr la procesarea .htaccess. Sună tehnic. Pe shared hosting, e dezastru.

De ce? Clienții scriu în .htaccess.

E normal. Au nevoie pentru rewrite URL, headere cache sau reguli de securitate. Dar un atacator cu acces la .htaccess creează o expresie malițioasă. Apache citește fișiere din afara directoarelor lor – cu privilegii de httpd.

Pe scurt: Clientul A accesează configurile, credentiale DB, API keys sau date private ale Clientului B. Poate chiar fișiere de sistem, dacă permisiunile permit.

Nu e teorie. Procesul httpd are acces larg pe directoare. Nu trebuie root. Doar write pe .htaccess-ul propriu.

Ce faci acum

Pentru toți operatorii Apache:

  • Treci la 2.4.67 în prima fereastră de mentenanță
  • Dacă ești pe 2.4.66, acționează urgent
  • Verifică politicile de patch automat – cinci luni cu RCE e prea mult

Pentru furnizori shared hosting:

  • CVE-2026-24072 e prioritate. Patch rapid
  • Validează strict .htaccess sau limitează ap_expr
  • Auditează separarea conturilor și permisiuni fișiere
  • Dezactivează expresii mod_rewrite dacă nu-s esențiale

Pentru VPS și servere dedicate:

  • Ai timp să testezi, dar nu întârzia
  • Rulează 2.4.67 în staging înainte de producție
  • Verifică module custom pentru compatibilitate

Ce urmează

Interesant e intervalul de cinci luni între dezvăluire privată și patch public. Politica Apache e rezonabilă – dă timp de pregătire. Dar arată clar de ce ai nevoie de:

  1. Monitorizare automată vulnerabilități
  2. Procese de patch în etape, cu testare
  3. Alerte realtime la CVE noi

La NameOcean, recomandăm securitate solidă: update-uri automate, medii de test și audituri regulate. Fie că folosești cloud hosting de la noi sau gestionezi singur, astea nu se negociază.

Patch-urile 2.4.67 sunt gata. Acțiunile tale sunt clare. Nu lăsa alte cinci luni cu vulnerabilități deschise.

Read in other languages:

RU BG EL CS UZ TR SV FI PT PL NB NL HU IT FR ES DE DA ZH-HANS EN