Siber Güvenlik

Acil: Apache HTTP/2 Açığı (CVE-2026-23918) DoS ve RCE Tehlikesi Taşıyor

teknomers
teknomers

Giriş

Apache Software Foundation (ASF), HTTP Sunucusu’nda tespit edilen birkaç güvenlik açığını gidermek için güncellemeler yayımlamıştır. Bu güvenlik açıklarından biri olan CVE-2026-23918, uzaktan kod çalıştırma (RCE) riski taşımaktadır ve kritik bir tehdit olarak değerlendirilmiştir.

Contents

Saldırı Nasıl Çalışıyor?

CVE-2026-23918 (CVSS puanı: 8.8), HTTP/2 protokolünde “double free” hatası ile ilişkilidir. Bu hata, Apache HTTP Sunucusu 2.4.66 versiyonunu etkilemekte olup, 2.4.67 versiyonunda giderilmiştir. Hata, bir istemci HTTP/2 HEADERS çerçevesini hemen ardından aynı akışta sıfırdan farklı bir hata kodu ile RST_STREAM gönderdiğinde meydana gelir. Bu durum sonucunda:

  • İki nghttp2 geri çağrısı tetiklenir.
  • Her iki çağrı da aynı h2_stream işaretçisini iki kez temizleme dizisine ekler.
  • İkinci çağrı, zaten serbest bırakılmış bir hafıza alanına eriştiğinde bellek hatası meydana gelir.

Dmitruk’un belirttiği üzere, bu açık, varsayılan yapılandırmada DoS (Denial of Service) ve RCE (Remote Code Execution) imkanı sunmaktadır. DoS saldırısı, yalnızca bir TCP bağlantısı ve iki çerçeve ile kolayca gerçekleştirilebilirken, RCE yolu daha karmaşık bir yapı gerektirmektedir.

Etkilenen Sistemler

Bu güvenlik açığı, özellikle aşağıdaki kurulumlarda dikkate alınmalıdır:

  • Apache HTTP Sunucusu 2.4.66 ve altı sürümler
  • mod_http2 eklentisi aktif olan dağıtımlar
  • Debian tabanlı sistemler ve resmi httpd Docker görüntüleri

Dmitruk ayrıca, MPM prefork yapılandırmasının bu güvenlik açığından etkilenmediğini belirtmiştir.

Çözüm ve Korunma

Güvenlik açığının ciddiyeti göz önüne alındığında, kullanıcıların aşağıdaki adımları atması önerilmektedir:

  • Apache HTTP Sunucusu’nuzu 2.4.67 veya üzeri bir versiyona güncelleyin.
  • HTTP/2 desteğini kullanmıyorsanız, ilgili modülü devre dışı bırakmayı düşünün.
  • Varsayılan yapılandırmalardaki her türlü açık uyarısına dikkat edin ve gerekli değişiklikleri yapın.

Sonuç

Apache HTTP Sunucusu’ndaki bu kritik güvenlik açığı, sistemlerin güvenliğini tehlikeye atma potansiyeline sahiptir. Kullanıcıların, sistemlerini güncelleyerek ve yapılandırmalarını gözden geçirerek bu tür tehditlere karşı proaktif bir yaklaşım sergilemeleri önemlidir.

CISO’lar Yönetim Kuruluna Log4j Hakkında Ne Söylemeli?
LinkedIn’de Phishing Saldırılarının 5 Nedeni ve Önlemler
Ölçeklendirilen Tespit ve Yanıt: 4 Yönlü Bir Yaklaşım
Yeni ‘Retbleed’ Spekülatif Yürütme Saldırısı AMD ve Intel CPU’ları Etkiliyor
Kia Araçları Plaka Yoluyla Uzaktan Hacklenmeye Açık
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Üçüncü Taraf API’lerini Çökertmeyi Durdurun: Laravel İşlerini Yavaşlatma 🚦
Sonraki Makale ChatGPT’nin Yeni Modeli Daha Az Yanıltıcı İddiası

Sanal Medya

Son Eklenenler

Surface Laptop Ultra’nın RTX Spark Süper Çip için 110W TDP hedefi
Donanım
Acil: PCPJack 230 AWS ve Google Cloud Sunucusunu Ele Geçirdi!
Siber Güvenlik
Bellek Çökmesi Yaşamadan Milyonları İşleme: Laravel Lazy Collections
Yazılım
Frore, Nvidia Vera Rubin için LiquidJet Nexus soğutucusunu tanıttı
Donanım
Mira Murati Yeniden Sahneye Çıkıyor
Genel
HP, RTX 5080 oyun PC’sinde 2.600 $ indirim yaptı!
Donanım