Apache 2.4.68 Yayında: HTTP/2 Bombası Düzeltmesi Ana Sürüme Taşındı, Bir de .htaccess Yetki Yükseltme Açığı Var

Apache HTTP Server 2.4.68, 8 Haziran 2026’da yayınlandı — Mayıs ayı başındaki 2.4.67’den sonraki ilk ara sürüm ve projenin kendi indirme sayfasında belirttiği gibi “önceki tüm sürümlere göre tercih edilmesi gereken” sürüm. Kendi LAMP sunucunuzu işletiyorsanız bu hafta yama listenizin başına bunu yazın.

Bu sürümde gerçekte ne var

httpd.apache.org üzerindeki kamuya açık CVE listesi henüz bu sürümle tam senkronize değil, ancak tek tek açıklamalar oss-security listesine ve dağıtım güvenlik takipçilerine düştü. Özellikle bilinmesi gereken üç açık var.

CVE-2026-49975 (mod_http2, orta düzey) — Bu, geçen hafta yazdığımız “HTTP/2 Bombası”. HPACK sıkıştırma tablosu hilesi ile sıfır pencere (zero-window) tıkanmasını birleştiren bu açık, saldırganın tek bir bağlantıyla sunucu belleğinden onlarca gigabaytı kilitlemesine izin veriyordu. O zaman tek çözüm, Apache’nin normal sürüm döngüsü dışında yayınlanan bağımsız bir mod_http2 2.0.41 modülüydü ve bu da modülün elle değiştirilmesi gerekiyordu. 2.4.68 ile bu düzeltme artık ana koda işlendi; yani artık dağıtımların paket depolarına elle modül değiştirmeye gerek kalmadan, normal güncelleme akışıyla gelebilecek.

CVE-2026-44119 (birden fazla modül, orta düzey) — Apache’nin .htaccess dosyalarında ve yapılandırma yönergelerinde kullanılan ifadeleri (ap_expr) birden fazla modülde nasıl değerlendirdiğiyle ilgili bir yetki yükseltme açığı. Pratikte etkisi şu: .htaccess üzerinden geçersiz kılmaya (override) izin verilen yapılandırmalarda, ifade değerlendirmesi kötüye kullanılarak httpd işçi sürecinin erişmemesi gereken dosyalar okunabiliyor. Her müşterinin kendi .htaccess dosyasını yazabildiği paylaşımlı hosting ortamlarında bu, öncelik verilmesi gereken açık.

CVE-2026-29167 (mod_ldap, dizin başına yapılandırma) — mod_ldap’in dizin başına (per-directory) yapılandırma bloklarında kullanıldığında ortaya çıkan bir use-after-free açığı. Mart ayında Apache güvenlik ekibine bildirilmiş ve 3 Haziran’da 2.4.x koluna işlenmiş. Apache üzerinden LDAP veya Active Directory ile kimlik doğrulaması yapmıyorsanız sizi doğrudan ilgilendirmiyor, ama yine aynı sürümün içinde geliyor.

Üçü de 2.4.0’dan 2.4.67’ye kadar tüm sürümleri etkiliyor olarak listeleniyor — yani güncelleme yapılana kadar şu anda üretimde çalışan neredeyse her Apache kurulumu.

Can sıkıcı kısım: dağıtım gecikmesi

Bunların hiçbiri geçen haftaki HTTP/2 bombası gibi manşetlere çıkmadı ve hiçbiri dışarıdan kolayca istismar edilebilir değil. Ama .htaccess yetki yükseltme açığı, tam da paylaşımlı hostingin üzerine kurulduğu çoklu kullanıcılı (multi-tenant) sistemlerde en çok önem taşıyan türden bir açık.

Burada her zamanki sorun geçerli: Apache’nin üst akış (upstream) sürümü çıktı, ama Debian, Ubuntu, RHEL/AlmaLinux/Rocky ve cPanel’in paket Apache’si (EA-Apache2) kendi takvimlerinde yeniden paketliyor — çoğunlukla sürümü doğrudan 2.4.68’e atlamak yerine sadece ilgili yamaları geriye taşıyarak (backport). Yani apachectl -v çıktısında 2.4.67 görmeniz, açığa açık olduğunuz anlamına gelmediği gibi, korunduğunuz anlamına da gelmiyor. Hangi durumda olduğunuzu varsaymadan önce dağıtımınızın veya panel sağlayıcınızın ilgili güvenlik bildirimini yayınlayıp yayınlamadığını kontrol edin.

Mevcut sürümünüzü kontrol etmek için:

apachectl -v

Bir site için .htaccess geçersiz kılmalarının açık olup olmadığını görmek için vhost yapılandırmanızda AllowOverride yönergesine bakın — AllowOverride None dışındaki her değer, ifade değerlendirme yolunun o dizine yazabilen herkes tarafından erişilebilir olduğu anlamına gelir.

kalfaoglu.net müşterilerine ne anlam ifade ediyor

Paylaşımlı hosting müşterilerinin kendi taraflarında yapması gereken bir şey yok. Sunucu tarafındaki Apache ve EA-Apache2 güncellemeleri normal yama döngümüzün bir parçası ve cPanel’in bu tür yeniden paketlenmiş düzeltmelere yönelik güvenlik bildirimlerini takip ediyoruz.

Kendi VPS veya özel sunucunuzda Apache çalıştırıyorsanız: bu haftanın listesi, dağıtımınızda mevcutsa 2.4.68’e yükseltmek, ya da sürüm hâlâ 2.4.68 göstermiyorsa dağıtımınızın geriye taşıma (backport) paketinin CVE-2026-44119, CVE-2026-29167 ve CVE-2026-49975’i kapsayıp kapsamadığını doğrulamak. Hemen yama yapamıyorsanız ve aynı sunucuda birden fazla kullanıcı için .htaccess geçersiz kılmalarına izin veriyorsanız, gözden geçirilmesi gereken yapılandırma önce bu — üçü arasında en doğrudan erişilebilir olanı bu.