Apache Webserver 2.4.66 Güvenlik Açıkları

Yeni güvenlik açıkları gelmeye devam ediyor.

Apache Webserver 2.4.66 versiyonu dahil olmak üzereye geriye dönük birçok sürümü etkileyen 11 adet güvenlik açığı mevcut, 1 tanesi uzaktan kod çalıştırma özelliğine sahip kritik bir açık.

CVE-2026-23918 > http2 modülü kaynaklı rce uzaktan kod çalıştırma. (kritik)
CVE-2026-24072 > mod_rewrite açığı. (orta seviye)
CVE-2026-33006 > mod_auth_digest modülü açığı. (orta seviye)
CVE-2026-28780 > mod_proxy_ajp buffer overflow açığı.
CVE-2026-29168 > mod_md OCSP açığı.
CVE-2026-29169 > mod_dav_lock açığı.
CVE-2026-33007 > mod_authn_socache açığı.
CVE-2026-33523 > HTTP response splitting açığı.
CVE-2026-33857 > AJP fonksiyonu açığı.
CVE-2026-34032 > mod_proxy_ajp over-read in ajp_msg_get_string açığı.
CVE-2026-34059 > mod_proxy_ajp over-read in ajp_parse_data() açığı.

Söz konusu güvenlik açıklarının kapatıldığı apache webserver sürümü 2.4.67'dir.

Apache webserver güncellemelerini nasıl yapacağınız kullandığınız sisteme ve kontrol paneline göre farklılık gösterebilir.

Cpanel easyapache 4 için 2.4.67 güncellemesini bugün yayınladı. Aynı güncelleme içinde libcurl modülüyle ilgili bazı açıklar için de yama yayınlandı. Güncellemeyi elle çalıştırmak için aşağıdaki komutlar kullanılabilir.

Almalinux 8-9 / Cloudlinux 8-9 sistemler için;

dnf clean all
dnf makecache
dnf -y update ea-apache*

Centos 7 sistemler için;

yum clean all
yum makecache
yum -y update ea-apache*

* Cpanel otomatik güncellemeleriniz açık ise güncelleme 24 saat içinde otomatik olarak yapılacaktır.
* Cloudlinux easyapache repoları cpanel repolarından farklı olduğundan güncellemeler senkron değildir, güncelleme şu an bulunamayabilir ara ara kontrol ediniz. Cloudlinux sunucularda güncelleme esnasında "CloudLinux Network based repositories will be disabled" uyarısı mevcut ise lisans probleminiz olabilir ve bu nedenle bu güncellemeyi yapamayabilirsiniz.

Güncellemeyi yaptıktan sonra apache sürüm kontrolü için aşağıdaki komutu kullanabilirsiniz;

httpd -V

Sürüm numarası aşağıdaki gibi 2.4.67 olmalıdır.

[root@server ~]# httpd -V
Server version: Apache/2.4.67 (cPanel)
Server built:   May  4 2026 00:00:00
Server's Module Magic Number: 20120211:142
Server loaded:  APR 1.7.6, APR-UTIL 1.6.3, PCRE 10.40 2022-04-14
Compiled using: APR 1.7.6, APR-UTIL 1.6.3, PCRE 10.40 2022-04-14
Architecture:   64-bit
Server MPM:     event

Litespeed webserver kullanılan sunucular bu açıkların büyük kısmından etkilenmese de ortak kütüphane çağrılarının olduğu durumlar için düşük de olsa risk vardır. Litespeed şirketinden henüz bu açıklarla ilgili resmi bir açıklama veya yeni sürüm bilgisi gelmemiştir.

***

https://httpd.apache.org/security/vu...lities_24.html
https://support.cpanel.net/hc/en-us/...Release-v25-57

---

Diğer kontrol panelleri için panel şirketinin resmi duyuru ve döküman sayfalarını inceleyebilirsiniz.

Son günlerde daha fazla göreceğiz gibi hocam;

Bu devirde 1 gün bile güncellemeyi geciktirmek büyük risk. RCE açığı şakaya gelmez. Herkes sürümünü httpd -V ile bir kontrol etsin mutlaka.

Sanırım yapay zekanın sektörlere zararları ortaya çıkmaya başlıyor

Bilgilendirme için eline sağlık.

Merhaba,

Öncelikle tarafımıza iletmiş olduğunuz bilgilendirme için teşekkür ederiz.

Yapılan incelemeler doğrultusunda, CloudLinux OS işletim sistemlerinde standart dnf veya yum güncelleme komutlarının her zaman ilgili paketi güvenli sürüme yükseltmeyebildiği tespit edilmiştir. Bu durum, özellikle belirli paketlerin yalnızca test (testing) depoları üzerinden dağıtılmasından kaynaklanmaktadır.

CloudLinux tarafından alınan ek yönlendirmeler doğrultusunda, ilgili paketin güvenli sürüme yükseltilmesi için aşağıdaki komutu kullanabilirsiniz.

yum update ea-apache24 --enablerepo=cl-ea4-testing

Belirtilen komut, gerekli olan güncellemeyi doğrudan test deposu üzerinden çekerek sistemin güvenli sürüme yükseltilmesini sağlamaktadır.

Saygılarımızla,
Bilhost Bilişim Teknolojileri A.Ş.