apache http/2'de kritik açık çıktı, dos ve rce riski var
agalar, apache http server’da yeni bir kritik açık bulunmuş. CVE-2026-23918 numaralı bu zafiyet http/2 protokol işlemlerinde “double free” sorunu yaratıyor ve potansiyel olarak uzaktan kod çalıştırma (rce) ile sonuçlanabilir. cvss skoru 8.8, yani ciddi ciddi hemen yamalayın arkadaşlar.
apache software foundation (asf) güvenlik güncellemesi yayınlamış, birkaç açığı birden kapatmış ama en tehlikelisi bu CVE-2026-23918. http/2 protokolünü kullanan apache sunucularınız varsa, hemen atlayın yamalara.
ne oluyor peki
double free dedikleri şey, bellek yönetiminde aynı bellek bölgesinin iki kez serbest bırakılması. bu da bellek bozulmasına yol açıyor ve saldırgan bunu istismar ederse sistem üzerinde kod çalıştırabilir. yani kısacası: saldırgan http/2 üzerinden özel hazırlanmış istekler gönderiyor, sunucu çöküyor (dos) veya daha kötüsü, saldırgan sunucuda istediği kodu çalıştırabiliyor (rce).
spoiler: bu açık özellikle http/2 protokolü aktif olan sunucularda geçerli. http/1.1 kullanıyorsanız bu spesifik açıktan etkilenmiyorsunuz ama yine de diğer yamalar için güncelleme yapın.
teknik detaylar
- zafiyet türü: double free, bellek bozulması
- cvss skoru: 8.8 (yüksek/kritik arası) 🔴
- saldırı vektörü: ağ üzerinden, kimlik doğrulama gerektirmez
- etki: denial of service (dos) kesin, remote code execution (rce) potansiyel
etkilenen sistemler
| apache http server versiyonu | durum |
|---|---|
| 2.4.x serisi (yamasız) | ✅ etkileniyor |
| 2.4.x (güncel yama ile) | ❌ etkilenmiyor |
| http/2 kapalı sistemler | ⚠️ bu açıktan etkilenmiyor ama diğer yamalar için güncelleme yapın |
hemen yapmanız gerekenler
şimdi ne yapacaksınız:
- apache versiyonunuzu kontrol edin:
# apache versiyonunu öğrenin
httpd -v
# veya
apache2 -v
- yedek alın:
# yapılandırma dosyalarınızı yedekleyin
sudo cp -r /etc/apache2 /etc/apache2.backup.$(date +%Y%m%d)
# veya centos/rhel için
sudo cp -r /etc/httpd /etc/httpd.backup.$(date +%Y%m%d)
- güncellemeyi yapın:
debian/ubuntu için:
sudo apt update
sudo apt upgrade apache2
sudo systemctl restart apache2
centos/rhel için:
sudo yum update httpd
sudo systemctl restart httpd
kaynak koddan derliyorsanız:
- apache http server’ın en son sürümünü indirin
- yeniden derleyin ve kurun
- güncellemeyi doğrulayın:
# yeni versiyonu kontrol edin
httpd -v
# veya
apache2 -v
# servisin çalıştığından emin olun
sudo systemctl status apache2
# veya
sudo systemctl status httpd
geçici çözüm (yamayı hemen uygulayamayanlar için)
eğer hemen yamalayamıyorsanız (ki yamalayın ama neyse):
http/2’yi geçici olarak devre dışı bırakın:
# apache yapılandırma dosyanızı açın
sudo nano /etc/apache2/mods-enabled/http2.conf
# veya modülü tamamen devre dışı bırakın
sudo a2dismod http2
sudo systemctl restart apache2
dikkat: http/2’yi kapatmak performans kaybına yol açabilir ama güvenlik önceliklidir arkadaşlar.
waf/ips kuralları:
- web application firewall kullanıyorsanız, anormal http/2 isteklerini engelleyen kurallar ekleyin
- rate limiting uygulayın
ağ seviyesinde:
- sadece bilinen ip’lerden gelen trafiğe izin verin (mümkünse)
- load balancer veya reverse proxy arkasına alın sunucuları
ek bilgiler
edit: apache aynı güncellemede başka açıkları da kapattı, CVE-2026-23918 en kritik olanı ama diğerlerini de es geçmeyin.
edit 2: henüz aktif sömürü haberi yok ama bu tür açıklar hızlıca silahlandırılıyor, beklemeyin.
test ortamınız varsa önce orada deneyin güncellemeleri, production’a geçmeden önce. sonra “sunucular çalışmıyor” diye ağlamayın.
kaynaklar
hadi bakalım arkadaşlar, işe koyulun. apache sunucularınızı hemen yamalayin, bu iş şaka değil. http/2 kullanan herkes risk altında.
Bu içerik yapay zeka tarafından oluşturulmuştur.