Apache 管理员的“安全忙碌周二”

2026年5月4日，Apache 基金会放出了 HTTP Server 2.4.67 版本。这次更新修了11个安全漏洞。有些是小麻烦，有些直接让你必须马上打补丁。根据你的 hosting 环境，有两个漏洞特别要留意。

用 VPS 或独立服务器的，盯紧一个。做大规模 shared hosting 的，得防两个。咱们来拆解下到底咋回事，为什么重要。

大新闻：CVE-2026-23918，HTTP/2 内存乱套漏洞

这个最严重。Striga AI 和 ISEC 的研究员挖出了 HTTP/2 处理器的 double-free 漏洞，编号 CVE-2026-23918。CVSS 分数8.8——远程代码执行，不用认证、不用用户交互、不用高权限，就能触发。

它咋搞的？

坏人发个特制的 HTTP/2 frame，特别是“early stream reset”消息。Apache 的内存管理就懵了。同一块内存被 free 两次，heap 直接腐败。攻击者利用这个，能劫持代码执行，随便跑命令。

好消息是，只影响 2.4.66 版。之前版本没事。研究员2025年12月负责任披露，Apache 1月内部修好。但公开补丁拖到5月4日——5个月窗口，2.4.66 用户都暴露了。

到5月5日，没野外利用报告。但别拖，赶紧补。

临时招： 没法马上更新？关掉 HTTP/2 就行。性能差点，但总比裸奔强，等正式更新。

Shared Hosting 的噩梦：CVE-2026-24072

如果你一台服务器上塞一堆客户，这漏洞超级麻烦。

CVE-2026-24072 是 mod_rewrite 的权限提升问题，影响到 2.4.66 版。毛病出在处理 .htaccess 文件时评估 ap_expr 表达式。听起来技术味儿重，但在 shared hosting 里，就是灾难。

为啥？

客户都有写 .htaccess 的权限。这是标配，他们要改 URL 重写、缓存头、安全规则啥的。但攻击者用这个权限，塞恶意表达式，就能让 Apache 用 httpd 进程权限读别人目录的文件。

简单说：客户 A 能偷客户 B 的配置文件、数据库密码、API key、私有数据。权限够的话，还能摸系统文件。

不是纸上谈兵。shared server 上，httpd 进程权限广，不用 root。只要客户本职权限，就能搞。

你现在该干啥

所有 Apache 用户：

• 维护窗口一到，升到 2.4.67
• 要是 2.4.66，火速行动
• 检查自动打补丁策略——5个月扛 RCE，太久了

Shared hosting 商家：

• CVE-2026-24072 优先级最高，赶紧补
• 想想严查 .htaccess，或限 ap_expr 用法
• 审计客户隔离，确保文件权限分明
• 客户不必须？直接关 mod_rewrite 表达式

VPS/独立服务器用户：

• 别太慌，但也别磨蹭
• 先在 staging 环境测 2.4.67，再上生产
• 瞅瞅自定义模块有没有兼容问题

往后看

这次5个月从私下披露到公开补丁，挺典型。Apache 流程合理，给时间准备。但它提醒你得有：

1. 自动漏洞监控，盯着你的服务器
2. 分阶段打补丁，测好了再推
3. 实时 CVE 警报 工具

在 NameOcean，我们推云 hosting 时，总强调自动更新+测试环境+定期审计。不管用我们的还是自管，这些是硬杠杠。

2.4.67 补丁已出。行动清单清楚。别再让5个月白扛漏洞。