Apache HTTP Sunucularında Kritik RCE Zafiyeti! CVE-2026-23918 (CVSS: 8.8)

Yazar admin · Yayınlanan Mayıs 5, 2026 · Güncellendi Mayıs 5, 2026

İçindekiler

1 Başlıca Tehdit: CVE-2026-23918 (CVSS: 8.8)
2 Sunucunuzu Nasıl Güvenceye Alırsınız?
- 2.1 AlmaLinux Sistemler İçin:
- 2.2 Ubuntu Sistemler İçin:

Apache Software Foundation, milyonlarca sunucuyu doğrudan tehdit eden oldukça kritik bir güvenlik güncellemesi yayınladı. 4 Mayıs 2026 tarihinde sunulan Apache HTTP Server 2.4.67 sürümü, sistemin uzaktan ele geçirilmesine (RCE) yol açabilecek son derece tehlikeli bir hatayı kapatıyor. Eğer sistemlerinizde 2.4.66 veya daha eski bir sürüm çalışıyorsa bu güncellemeyi kesinlikle ertelememeniz gerekiyor.

Başlıca Tehdit: CVE-2026-23918 (CVSS: 8.8)

Sistem yöneticilerini asıl alarma geçiren sorun Apache’nin HTTP/2 protokolü uygulamasında tespit edilen bir bellek bozulması (double-free) hatası. Sistem, aynı bellek bölgesini iki kez serbest bırakmaya çalıştığında bellek yapıları bozuluyor. Bu açık saldırganlara sistemin çalışma akışını kendi istedikleri yöne çekme ve doğrudan Uzaktan Kod Çalıştırma (RCE) fırsatı veriyor.

Doğrudan 2.4.66 sürümünü hedef alan bu zafiyet, dünya çapındaki kurumsal altyapılar için çok ciddi bir risk oluşturuyor. Bu güncelleme paketiyle birlikte ayrıca, sunucu kaynaklarını tüketebilen veya çökmelere (DoS) yol açabilen üç farklı düşük seviyeli açık (CVE-2026-28780, CVE-2026-29168 ve CVE-2026-29169) daha giderilmiş durumda.

Sunucunuzu Nasıl Güvenceye Alırsınız?

Bu kritik RCE zafiyetinin tek kesin çözümü vakit kaybetmeden 2.4.67 sürümüne geçiş yapmaktır. Eğer acil bir güncelleme yapma imkanınız yoksa geçici bir önlem olarak sunucunuzda HTTP/2’yi devre dışı bırakmayı değerlendirebilirsiniz. Ancak cPanel ve EasyApache 4 kullanan bir sunucu altyapısına sahipseniz bu hayati güvenlik yamasını doğrudan terminal üzerinden uygulayarak sisteminizi hızlıca koruma altına alabilirsiniz. İşletim sisteminize uygun olarak aşağıdaki adımları izlemeniz yeterlidir:

AlmaLinux Sistemler İçin:

SSH üzerinden sunucunuza root yetkisiyle bağlanın, paket önbelleğini temizleyin ve güncellemeyi başlatın:

dnf clean all dnf makecache dnf -y update ea-apache*

Ubuntu Sistemler İçin:

Debian/Ubuntu tabanlı bir altyapınız varsa, paket listelerinizi tazeleyip yalnızca EasyApache paketlerini hedefleyerek yükseltme işlemini şu komutlarla yapabilirsiniz:

apt update apt install --only-upgrade "ea-apache24*"

İşlemi tamamlandıktan sonra Apache servisinizin sorunsuz bir şekilde yeniden başladığından ve sisteminizin güvenlik yamasını içeren güncel sürümde çalıştığından emin olmak için servis kontrolü (httpd -v) yapmayı unutmayın.