4 мая 2026 года Apache Software Foundation выпустила внеплановое обновление 2.4.67. В нём закрыты две заметные уязвимости: одна позволяет удалённо выполнить код через протокол HTTP/2, другая даёт пользователю shared-хостинга возможность читать чужие файлы.
Что случилось
CVE-2026-23918 — high-severity (CVSS 8.8), удалённое выполнение кода через HTTP/2. Ошибка в обработке HTTP/2-соединений приводит к повреждению памяти при определённой последовательности запросов. В простом сценарии это вызывает падение httpd, в сложном — позволяет атакующему выполнить произвольный код с правами процесса httpd. Затронута только версия 2.4.66. Уязвимость нашли исследователи Бартломей Дмитрук (striga.ai) и Станислав Стшалковский (isec.pl).CVE-2026-24072 — повышение привилегий через.htaccess. Часть проверок в mod_rewrite выполняется с правами процесса httpd, а не с правами владельца .htaccess. Это позволяет пользователю с возможностью редактировать .htaccess читать файлы, к которым у него нет прямого доступа. Затронуты все версии до 2.4.66 включительно.Помимо этих двух, в обновлении закрыты тайминг-атака на Digest-аутентификацию (CVE-2026-33006), серия багов в mod_proxy_ajp и несколько уязвимостей типа отказ в обслуживании в mod_authn_socache и mod_dav_lock.
Насколько опасно
- CVE-2026-23918: высокий уровень опасности. Атака удалённая, не требует взаимодействия пользователя, может привести к полной компрометации сервера. HTTP/2 включён по умолчанию во многих современных конфигурациях. Под угрозой все администраторы, успевшие обновиться до 2.4.66 в декабре.
- CVE-2026-24072: средний уровень. Удалённо не эксплуатируется — атакующему нужен доступ к записи
.htaccessна сервере. На практике это критично для shared-хостинга, где сотни клиентов делят один процесс Apache. Если злоумышленник скомпрометировал один аккаунт — например, через слабый пароль или уязвимый плагин WordPress, — он сможет читать файлы других клиентов на том же сервере. - Масштаб: Apache занимает около 26% рынка веб-серверов и используется на десятках миллионов сайтов.
- Эксплуатации в открытых источниках пока не зафиксировано, но публичная техническая информация уже доступна — окно до появления PoC может быть коротким.
Как исправить
Обновиться до Apache HTTP Server 2.4.67. Дистрибутив доступен на httpd.apache.org, основные дистрибутивы Linux выпускают пакеты в течение нескольких дней после релиза.
Если обновиться сразу не получается, для CVE-2026-23918 помогает временное отключение HTTP/2 — достаточно убрать h2 и h2c из директивы Protocols. Для CVE-2026-24072 в качестве временной меры можно ограничить директивы, разрешённые в .htaccess, через AllowOverride — в первую очередь запретить FileInfo, если это совместимо с задачами клиентов.