7/24 Destek
SSS
 Kontrol Paneli
Hesap Bakiyesi:    
Apache 2.4.67 Güvenlik Açığı: Paylaşımlı Hosting Kullanıyorsanız Mutlaka Bilmeniz Gereken Şeyler

Apache 2.4.67 Güvenlik Açığı: Paylaşımlı Hosting Kullanıyorsanız Mutlaka Bilmeniz Gereken Şeyler

May 05, 2026 apache security cve patching shared hosting remote code execution http/2 vulnerabilities server security web server management

Apache'de Acil Güvenlik Güncellemesi: 11 Yamayla İlgili Bilmeniz Gerekenler

Apache Software Foundation, Mayıs 2026'nın başında HTTP Server 2.4.67 sürümünü duyurdu. Bu güncelleme, küçük sorunlardan başlayıp "hemen yükleyin" derecesine kadar çıkan 11 güvenlik açığını içeriyor. Özellikle barındırma altyapınızın türüne bağlı olarak, bu açıklardan ikisine dikkat etmeniz gerekiyor.

Eğer VPS ya da dedicated sunucu kullanıyorsanız bir sorunla karşı karşıya kalabilirsiniz. Ancak paylaşımlı hosting sunucularında işletme yapıyorsanız, endişelenmeniz gereken iki farklı risk var. Neler olup bittiğini ve neden önemli olduğunu açıklayalım.

En Ciddi Sorun: HTTP/2'deki Bellek Yönetimi Açığı

Burası gerçekten ciddi bir durum. Striga AI ve ISEC araştırma ekipleri, Apache'nin HTTP/2 protokol işleyicisinde tehlikeli bir hatayı keşfetti. CVE-2026-23918 olarak adlandırılan bu açığın CVSS skoru 8.8—yani uzaktan kodun çalıştırılması mümkün olan ve hiçbir kimlik doğrulamaya ihtiyaç duymayan bir güvenlik açığı.

Saldırı nasıl çalışıyor:

Kötü niyetli bir istemci, özellikle "erken akış sıfırlaması" mesajı içeren yapay HTTP/2 çerçevesi gönderdiğinde, Apache'nin bellek yönetimi sistemi karıştırılıyor. Sunucu, hafızadaki aynı parçayı iki kez silmeyi deniyor ve bu sırada heap bölgesi bozuluyor. Saldırgan bu bozulmuş bellek alanını istismar ederek sunucuda keyfi komutlar çalıştırabiliyor.

İyi tarafı? Bu açık sadece 2.4.66 sürümünde var. Daha eski versiyonlar etkilenmiyor. Araştırmacılar açığı Aralık 2025'te sorumlu bir şekilde bildirdiler ve Apache ekibi Ocak ayına kadar düzeltmeyi tamamladı. Ancak resmi yamayı Mayıs 4'e kadar beklediler—bu da 2.4.66 kullanan herkesin beş ay boyunca potansiyel riskte kaldığı anlamına geliyor.

Şu an için bu açığın gerçek ortamda istismar edildiğine dair rapor yok. Fakat bu, güncellemeyi ertelerken huzur içinde uykunuza gitmeli anlamına gelmiyor.

Acil çözüm: Hemen güncelleme yapamıyorsanız, HTTP/2'yi tamamen devre dışı bırakmak bu saldırı vektörünü kapatır. Modern web performansı açısından ideal değil, ama güncelleme hazırlığı yaparken açık kalmaktan iyidir.

Paylaşımlı Hosting İçin Daha Büyük Sorun: CVE-2026-24072

Eğer bir sunucuda birden fazla müşterinin sitesini barındırıyorsanız, burada işler daha karışık hale geliyor.

CVE-2026-24072, mod_rewrite modülündeki yetki yükseltme açığıdır ve Apache 2.4.66'ya kadar tüm sürümleri etkiliyor. Sorun, .htaccess dosyalarını işlerken ap_expr ifadeleri nasıl değerlendirdiğinde yatıyor. Teknik olarak basit bir detay gibi görünsede, paylaşımlı hosting ortamında bu felaket demektir.

Neden? Çünkü her müşteri .htaccess dosyasına yazma yetkisine sahip.

Bu standart bir uygulamadır. Müşterilerinizin URL yeniden yazma, önbellek başlıkları ve güvenlik kurallarını ayarlayabilmesi gerekir. Ancak .htaccess dosyasına erişim sağlayan bir saldırgan, Apache'yi kendi klasörü dışındaki dosyaları okumaya kandıracak şekilde özel bir ifade yazabilir. Ve bunu yapArken web sunucusu prosesinin (httpd) izinlerini kullanır.

Açık konuşursak: A müşterisi, B müşterisinin yapılandırma dosyalarını, veritabanı şifrelerini, API anahtarlarını ve özel verilerini okuyabilir. Hatta sunucu izinlerine bağlı olarak sistem dosyalarına bile ulaşabilir.

Bu teorik bir risk değil. Paylaşımlı sunucularda httpd prosesi, genellikle geniş klasör erişimine sahip bir kullanıcı seviyesinde çalışır. Saldırgan yönetici değildir—her müşterinin zaten sahip olduğu şeyi kullanır: kendi .htaccess dosyasına yazma hakkı.

Şimdi Yapmanız Gerekenler

Tüm Apache kullanıcıları için:

  • Bakım pencereniz açılır açılmaz 2.4.67'ye geçin
  • Eğer hala 2.4.66 kullanıyorsanız, bu güncelleme çok acil
  • Otomatik yamalarla ilgili politikalarınızı gözden geçirin; RCE açığını beş ay taşımak riskli

Paylaşımlı hosting sağlayıcılar için:

  • CVE-2026-24072 ilk önceliğiniz olmalı
  • .htaccess dosyaları için daha katı doğrulama veya müşteri dosyalarındaki ap_expr kullanımını sınırlamayı düşünün
  • Müşteri hesapları arasında dosya izinlerinin düzgün ayrılmış olduğundan emin olun
  • Müşterilerinizin buna kesinlikle ihtiyacı yoksa, mod_rewrite ifadelerini tamamen devre dışı bırakmayı değerlendirin

VPS ve dedicated sunucu kullanıcıları için:

  • Biraz daha yavaş hareket edebilirsiniz, ama çok beklememelisiniz
  • 2.4.67'yi test ortamında deneyin; öncesinde production'a taşımayın
  • Özel Apache modüllerinin uyumluluğunu kontrol edin

Sonuç

Özel açıklamadan herkese açık yamaya kadar beş aylık bir bekleme süresi dikkat çekici. Apache'nin sorumluluk bilinci takvimi makul olsa da—operatörlere hazırlanma süresi verir—bu, şunu gösteriyor: İhtiyacınız var:

  1. Altyapınızda otomatik güvenlik açığı izleme sistemleri
  2. Aşamalı yamaja giden ve deployment öncesi test yapan prosesler
  3. Yeni CVE'leri real-time bildiren izleme araçları

Her şey hazır. Adımlarınız belirlendi. Bir daha beş ay boyunca bu açıkları taşıyarak zaman kaybetmeyin.

Read in other languages:

RU BG EL CS UZ SV FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN