Kritická chyba Apache HTTP Servera vystavuje milióny serverov útokom RCE
Nadácia Apache Software Foundation vydala kritickú bezpečnostnú aktualizáciu pre Apache HTTP Server, ktorá opravuje päť zraniteľností vrátane nebezpečnej chyby double-free schopnej umožniť vzdialené spustenie kódu (RCE) vo verzii 2.4.67, vydanej 4. mája 2026. Všetkým používateľom verzie 2.4.66 a starších sa dôrazne odporúča okamžitá aktualizácia.
Hlavná zraniteľnosť: CVE-2026-23918
Najzávažnejšou z piatich zraniteľností je CVE-2026-23918, hodnotená ako Vysoká s základným skóre CVSS 8.8.
Ide o chybu korupcie pamäte typu double-free, spúšťanú v implementácii protokolu HTTP/2 Apache počas sekvencie „early stream reset“. Double-free zraniteľnosť nastáva, keď sa program pokúsi uvoľniť rovnakú oblasť pamäte dvakrát, čím poškodí štruktúry heap pamäte a potenciálne umožní útočníkovi presmerovať tok vykonávania – v tomto prípade otvorí dvere k vzdialenému spusteniu kódu.
Zraniteľnosť sa výlučne týka Apache HTTP Servera verzie 2.4.66 a bola prvýkrát nahlásená bezpečnostnému tímu Apache 10. decembra 2025 Bartlomiejom Dmitrukom zo striga.ai a Stanislawom Strzalkowskim z isec.pl. Oprava bola commitnutá v revízii r1930444 hneď nasledujúci deň, 11. decembra 2025, a verejná záplata bola dodaná vo vydaní 2.4.67 dňa 4. mája 2026.
Druhá zraniteľnosť: CVE-2026-24072
Druhá chyba, CVE-2026-24072, je hodnotená ako Stredná a cieli na použitie vyhodnotenia výrazov ap_expr v module mod_rewrite. Zraniteľnosť umožňuje lokálnym autorom súborov .htaccess čítať ľubovoľné súbory s oprávneniami používateľa httpd, čím efektívne umožňuje eskaláciu privilégií nad rámec ich zamýšľanej úrovne prístupu. Táto chyba sa týka Apache HTTP Servera 2.4.66 a starších a bola nahlásená 20. januára 2026 výskumníkom y7syeu.
Ďalšie opravené zraniteľnosti
V tej istej aktualizácii 2.4.67 boli riešené aj tri ďalšie chyby nižšej závažnosti:
CVE-2026-28780 — Pretečenie heap bufferu v module mod_proxy_ajp prostredníctvom funkcie ajp_msg_check_header(). Ak sa mod_proxy_ajp pripojí k škodlivému AJP serveru, tento server môže odoslať upravenú AJP správu, ktorá spôsobí, že modul zapíše 4 útočníkom kontrolované bajty za koniec heap bufferu. Nezávisle nahlásené štyrmi výskumníkmi medzi februárom a marcom 2026.
CVE-2026-29168 — Zraniteľnosť neobmedzenej alokácie zdrojov v obsluhe OCSP odpovedí modulu mod_md. Útočníci by ju mohli zneužiť na vyčerpanie serverových zdrojov prostredníctvom nadrozmerných dát OCSP odpovedí. Týka sa verzií 2.4.30 až 2.4.66, nahlásené Pavlom Kohoutom z Aisle Research 2. marca 2026.
CVE-2026-29169 — Dereferencia NULL ukazovateľa v module mod_dav_lock, ktorá umožňuje útočníkovi zrútiť server pomocou špeciálne vytvorenej požiadavky. Pozoruhodné je, že mod_dav_lock nie je interne používaný modulmi mod_dav ani mod_dav_fs – jediný známy prípad použitia bol s mod_dav_svn z Apache Subversion verzií pred 1.2.0. Ako dočasné opatrenie môžu administrátori, ktorí nemôžu okamžite aktualizovať, jednoducho odstrániť mod_dav_lock.
Prehľad zraniteľností
| CVE | Závažnosť | Komponent | Dopad | Postihnuté verzie |
|---|---|---|---|---|
| CVE-2026-23918 | Vysoká (CVSS 8.8) | HTTP/2 | Double Free / RCE | iba 2.4.66 |
| CVE-2026-24072 | Stredná | mod_rewrite (ap_expr) | Eskalácia privilégií | ≤ 2.4.66 |
| CVE-2026-28780 | Nízka | mod_proxy_ajp | Pretečenie heap bufferu | ≤ 2.4.66 |
| CVE-2026-29168 | Nízka | mod_md (OCSP) | Vyčerpanie zdrojov | 2.4.30–2.4.66 |
| CVE-2026-29169 | Nízka | mod_dav_lock | Dereferencia NULL / DoS | ≤ 2.4.66 |
Odporúčané opatrenia
Vzhľadom na obrovský globálny dosah Apache HTTP Servera predstavuje riziko RCE spojené s CVE-2026-23918 významné ohrozenie podnikovej infraštruktúry po celom svete. Administrátori by mali okamžite prijať nasledujúce opatrenia:
- Aktualizovať na Apache HTTP Server 2.4.67 — jediná úplná oprava všetkých piatich zraniteľností.
- Dočasne vypnúť HTTP/2, ak nie je možná okamžitá aktualizácia, na zníženie expozície voči CVE-2026-23918.
- Odstrániť mod_dav_lock, ak modul nie je aktívne používaný, ako dočasné opatrenie pre CVE-2026-29169.
- Auditovať oprávnenia .htaccess na obmedzenie expozície voči CVE-2026-24072 v prostrediach, kde je prístup lokálnych používateľov predmetom obáv.
Viac informácií:
https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html
https://cybersecuritynews.com/apache-http-server-rce/