Support dygnet runt
Vanliga frågor
 Instrumentpanel
Kontosaldo:    
Apache 2.4.67 ute – så farlig är RCE-sårbarheten (särskilt för dig med shared hosting)

Apache 2.4.67 ute – så farlig är RCE-sårbarheten (särskilt för dig med shared hosting)

Maj 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Hård säkerhetsmåndag för Apache-användare

Den 4 maj 2026 släppte Apache Software Foundation version 2.4.67 av sin HTTP Server. Uppdateringen fixar elva säkerhetshål – från irriterande buggar till akuta hot som kräver omedelbar åtgärd. Två av dem sticker ut beroende på din setup. Kör du VPS eller dedikerad server? Fokusera på en. Driver du shared hosting? Då är två kritiska.

Låt oss reda ut vad som hänt och varför det påverkar dig.

Största nyheten: CVE-2026-23918 och HTTP/2-minnesbuggen

Det här är det riktiga hotet. Forskare från Striga AI och ISEC hittade en double-free-bugg i HTTP/2-hanteraren, märkt CVE-2026-23918. CVSS-poäng 8.8 – det betyder remote code execution utan autentisering eller användarinteraktion.

Så funkar det:

En angripare skickar en skräddarsydd HTTP/2-ram, som en tidig stream-reset. Apache förvirras och frigör samma minnesblock två gånger. Heapen korrumperas, och en smart angripare kan styra koden för att köra egna kommandon på servern.

Bara version 2.4.66 drabbas. Äldre versioner är säkra. Felet rapporterades i december 2025, fixen var klar internt i januari – men offentlig patch kom först i maj. Fem månaders exponering för 2.4.66-användare.

Inga kända attacker i det vilda än, 5 maj. Men vänta inte.

Snabb fix: Stäng av HTTP/2 helt tills du patchat. Prestandan lider, men det stoppar hålet.

Shared hosting-helvetet: CVE-2026-24072

För dig med många kunder på samma server blir det extra kaotiskt.

CVE-2026-24072 sitter i mod_rewrite och drabbar upp till 2.4.66. Problemet ligger i hur ap_expr-uttryck utvärderas i .htaccess-filer. Låter tekniskt? På shared hosting är det en mardröm.

Varför?

Kunder skriver själva till sina .htaccess-filer – standard för URL-omdirigeringar, cache och säkerhet. En angripare kan fixa ett ont uttryck som lurar Apache att läsa filer utanför deras mapp. Med httpd-processens rättigheter.

Kort sagt: Kunde A läser kunde Bs databaskonfig, API-nycklar och hemligheter. Kanske till och med systemfiler.

Inget root behövs. Bara skrivrätt till egen .htaccess. På shared-servrar har httpd ofta bred åtkomst.

Vad gör du nu?

Alla Apache-driftare:

  • Uppgradera till 2.4.67 vid nästa fönster
  • 2.4.66? Gör det idag
  • Kolla dina auto-patch-regler – fem månader med RCE är för mycket

Shared hosting-folk:

  • CVE-2026-24072 först. Patcha snabbt
  • Validera .htaccess hårdare eller blockera ap_expr
  • Granska kontoisolering och filrättigheter
  • Stäng av mod_rewrite-uttryck om kunder klarar sig utan

VPS och dedikerade servrar:

  • Ta det lite lugnare, men skynda på
  • Testa 2.4.67 i staging först
  • Kolla kompatibilitet med egna moduler

Framåt

Fem månaders väntan från rapport till patch visar vad du behöver:

  1. Automatisk CVE-övervakning
  2. Stegvis patchning med tester
  3. Realtidsvarningar för nya hot

På NameOcean pushar vi för auto-uppdateringar, testmiljöer och regelbundna audits. Oavsett om du kör vår cloud hosting eller eget, är det ett måste.

Patcharna finns nu. Agera. Låt inte fem månader till passera med öppna hål.

Read in other languages:

RU BG EL CS UZ TR FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN