Поддержка 24/7
FAQ
 Панель управления
Баланс счета:    
Apache 2.4.67 вышел: почему эта RCE-уязвимость — тревожный сигнал для shared hosting

Apache 2.4.67 вышел: почему эта RCE-уязвимость — тревожный сигнал для shared hosting

Май 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Тревожный вторник для админов Apache

4 мая 2026 года Apache Software Foundation выпустила версию HTTP Server 2.4.67. В ней сразу 11 исправлений уязвимостей. От мелких проблем до тех, что требуют срочного патча. Две из них особенно опасны — в зависимости от твоей инфраструктуры.

Если у тебя dedicated server или VPS, следи за одной. При shared hosting на масштабе — за двумя. Разберём, что произошло и почему это важно.

Главная угроза: CVE-2026-23918 и сбой памяти в HTTP/2

Эта дыра — реальная проблема. Специалисты из Striga AI и ISEC нашли double-free в обработчике HTTP/2. CVE-2026-23918 с CVSS 8.8 — это remote code execution без авторизации, взаимодействия или прав.

Как это работает:

Злоумышленник шлёт специальный HTTP/2-фрейм с "ранним сбросом потока". Apache путается в памяти и освобождает один блок дважды. Heap корраптится. Атакующий может перехватить выполнение и запустить свой код на сервере.

Плюс в том, что уязвимость только в 2.4.66. Старые версии в безопасности. Обнаружили в декабре 2025-го, фикс был готов в январе. Но публичный патч вышел только в мае — 5 месяцев риска для пользователей 2.4.66.

На 5 мая эксплойтов в wild нет. Но патчить нужно срочно.

Временная мера: Отключи HTTP/2. Не лучший вариант для скорости сайта, но лучше, чем дыра.

Кошмар shared hosting: CVE-2026-24072

Для провайдеров с множеством клиентов — отдельный ужас.

CVE-2026-24072 — эскалация привилегий в mod_rewrite до 2.4.66. Проблема в оценке ap_expr при обработке .htaccess. На dedicated сервере это мелочь. В shared — катастрофа.

Почему? Клиенты пишут в свои .htaccess.

Это норма. Им нужно настраивать реврайты, заголовки, защиту. Но хакер с доступом к .htaccess может обмануть Apache. Читать файлы за пределами своей директории — под правами httpd-процесса.

Просто: клиент A увидит конфиги, пароли БД, ключи API и данные клиента B. Может дотянуться до системных файлов сервера.

Httpd на shared обычно имеет широкий доступ к директориям. Root не нужен — хватит записи в .htaccess.

Что делать прямо сейчас

Всем на Apache:

  • Обновись до 2.4.67 в ближайшее окно
  • Если 2.4.66 — срочно
  • Проверь автоматизированные патчи — 5 месяцев с RCE это слишком

Shared hosting:

  • CVE-2026-24072 в приоритете. Патчь первым делом
  • Добавь валидацию .htaccess или ограничи ap_expr
  • Проверь изоляцию аккаунтов и права на файлы
  • Отключи mod_rewrite-экспрешены, если не нужны

VPS и dedicated:

  • Не торопись, но не затягивай
  • Тестируй 2.4.67 в staging перед продом
  • Проверь кастомные модули на совместимость

Взгляд вперёд

Заметно 5-месячное окно от приватного раскрытия до патча. Apache даёт время на подготовку — это разумно. Но напоминает, зачем нужны:

  1. Автомониторинг уязвимостей
  2. Этапы патчинга с тестами
  3. Аллерты на новые CVE

В NameOcean советуем комбинировать автообновления, тестовые среды и аудиты. Для нашего cloud hosting или своей infra — это must-have.

Патчи 2.4.67 уже вышли. Действуй. Не повторяй 5-месячный риск.

Read in other languages:

BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN