Bu hafta Apache HTTP Server’in HTTP/2 uygulamasinda ciddi bir bellek bozulmasi acigi kamuoyuyla paylasildi. Teknik ayrintilar yeterince rahatsiz edici: bu satiri okumayi birakip once Apache surumuzu kontrol etmenizi oneririm. Kontrol ettiniz mi? Guzel. O zaman konuya girebiliriz.

Acik Nedir?

CVE-2026-23918, Apache httpd 2.4.66’nin mod_http2 modulunde, ozellikle akim temizleme (stream cleanup) kodunda bulunan bir “double free” (cift-serbest birakma) acikidir. Cift-serbest birakma, programin ayni bellek blogunu iki kez serbest birakmayi calistigi durumda ortaya cikar — ayirici (allocator) ic durumunu bozar, tipik olarak cokmelere, bazen daha kotusuyle sonuclanir.

“Daha kotusi” kismi, bu acigin CVSS puaninin 8.8 olmasini acikliyor. Saldirgan acigi tetiklemek icin HTTP/2 baglantisi uzerinde bir HEADERS cercevesini, ardindan hemen ayni akista — sunucunun coklaycisi (multiplexer) akisi henuz kaydetmeden once — RST_STREAM cercevesini gonderiyor. En iyi ihtimalle bu hizmet disi birakma (DoS) saldirisina yol aciyor. Belirli bellek ayirici yapilandirmalarinda ise uzaktan kod calistirmaya (RCE) kadar tirmanabiliyor.

Sunu acikca belirtmek gerekir: RCE yolu, Apache Portable Runtime’in mmap ayiriciyi kullanmasini gerektiriyor ki bu, cogu Linux dagitiminda varsayilan degildir. Ama “varsayilan degil” ile “asla olmaz” birbirinden farklidir. Ustelik tek basina DoS vektoru bile herhangi bir uretim web sunucusu icin yeterince ciddi bir sorundur.

Etkilenen Surumler

Yalnizca Apache HTTP Server 2.4.66 etkilenmektedir. Daha eski bir surum calistiriyorsaniz zaten guncellemeniz gerekiyordur, ancak bu CVE 2.4.66’yi dogrudan hedef almaktadir. Duzeltme bu hafta yayimlanan 2.4.67 surumunde mevcuttur.

Ne Yapmaniz Gerekiyor?

Secenek A — Guncelleyin. En temiz cozum 2.4.67’ye yukseltmektir. Debian/Ubuntu icin:

apt update && apt install apache2

RHEL/AlmaLinux/Rocky kullanicilari icin: yamasi yapilmis paketin dagitim depolariniza gelip gelmedigini kontrol edin. Yukari akis duzeltmesi hazir; dagitim paketlemesi birkac gun gecikmeli olabilir.

Secenek B — HTTP/2’yi gecici olarak devre disi birakin. Hemen guncelleyemiyorsaniz, HTTP/2’yi kapatmak saldiri vektorunu tamamen engeller. Apache yapilandirmanizda:

Protocols http/1.1

Protocols h2 http/1.1 satirini kaldirin ya da yorum satirina alin, ardindan Apache’yi yeniden baslatiniz. Siteleriniz calismaya devam eder; yalnizca HTTP/1.1’e geri duserler. Performansa duyarli uygulamalar bunu fark edebilir, ama hizmet ayakta kalir.

Once surumuzu kontrol edin:

apache2 -v
# ya da
httpd -v

2.4.66 goruyorsaniz harekete gecmeniz gerekiyor. 2.4.67 veya ustu goruyorsaniz zaten korunuyorsunuz.

HTTP/2 Hakkinda Genel Bir Not

Bu acik, HTTP/2’nin — coklama (multiplexing) ve baslik sikistirma (header compression) gibi avantajlarina karsin — istek isleme akisina ciddi karmasiklik kattigini bir kez daha hatirliyor. Daha fazla karmasiklik demek daha genis saldiri yuzeyi demektir. Bu, HTTP/2 kullanmayin anlamina gelmiyor; sunucu yaziliminizi guncel tutun ve yama dagitim sureci uc haftayi bulmasin anlamina geliyor.

Paylasimli barinrma ortamlari bu aciadan ozellikle dikkat gerektiriyor. Onlarca sanal ana bilgisayara hizmet veren tek bir Apache ornegi, yanlis bicimlenmis bir HTTP/2 cerceve dizisiyle cevrimdisi alinabilir. Kimlik dogrulamaya gerek yok, hesaba gerek yok — 443 numarali porta ag erisimi yeterli.

kalfaoglu.net Musterileri Icin Bu Ne Anlama Geliyor?

Sunucularimiz Apache uzerinde calismakta olup yukari akis guvenlik duyurularini rutin olarak takip ediyoruz. CVE-2026-23918’i izliyoruz ve etkilenen sunuculari, dagitim depolarimizda paketler hazir hale geldikce 2.4.67’ye yukseltiyoruz. Bu surece her sunucudaki HTTP/2 yapilandirmasi da gozden gecirilmektedir. Kendi VPS’inizi yonetiyor ve Apache guncellemelerinizi kendiniz yapiyorsaniz, yukaridaki adimlar sizin icin gecerlidir — bunu ertelememenizi oneririz.

Paylasimli barinrma hizmetimizi kullaniyorsaniz ve merak ediyorsaniz, bir destek talebi acabilirsiniz. Sunucunuzda hangi Apache surumunun calistigini size net olarak bildiririz.

Ozet

  • CVE: CVE-2026-23918
  • Etkilenen surum: Apache HTTP Server 2.4.66
  • Duzeltilen surum: Apache HTTP Server 2.4.67
  • Onem derecesi: CVSS 8.8 (Yuksek)
  • Etki: Hizmet disi birakma; belirli bellek ayirici kosullarinda uzaktan kod calistirma
  • Onlem: 2.4.67’ye yukseltin ya da Protocols http/1.1 ile HTTP/2’yi devre disi birakin

Tam akim sifirlama dizisinin teknik aciklamasi icin The Hacker News haberi iyi bir kaynak. Kanonik takip icin OpenCVE kaydi.

Erken yama yapin, sik yama yapin. Internet affetmez.