Apache

Apache HTTP Server 2.4.68, 8 Haziran 2026’da yayınlandı — Mayıs ayı başındaki 2.4.67’den sonraki ilk ara sürüm ve projenin kendi indirme sayfasında belirttiği gibi “önceki tüm sürümlere göre tercih edilmesi gereken” sürüm. Kendi LAMP sunucunuzu işletiyorsanız bu hafta yama listenizin başına bunu yazın. Bu sürümde gerçekte ne var httpd.apache.org üzerindeki kamuya açık CVE listesi henüz bu sürümle tam senkronize değil, ancak tek tek açıklamalar oss-security listesine ve dağıtım güvenlik takipçilerine düştü. Özellikle bilinmesi gereken üç açık var. ...

3 Haziran 2026’da araştırmacı Quang Luong, “HTTP/2 Bombası” adını verdiği uzaktan servis dışı bırakma açığını yayımladı. Açık, sıradan bir ev internet bağlantısından on gigabayt sunucu belleğini saniyeler içinde tüketebiliyor. Güvenlik açığı aynı gün oss-security listesine de iletildi ve nginx, Apache httpd, Microsoft IIS, Envoy ile Cloudflare Pingora’yı varsayılan HTTP/2 yapılandırmalarında etkiliyor. Apache httpd kolu için CVE-2026-49975 tanımlayıcısı atandı. Saldırı nasıl çalışıyor Açık, her biri yaklaşık on yıldır ayrı ayrı bilinen iki tekniği, bu sunuculara karşı daha önce hiç birleştirilmemiş bir şekilde kullanıyor. ...

Bu hafta Apache HTTP Server’in HTTP/2 uygulamasinda ciddi bir bellek bozulmasi acigi kamuoyuyla paylasildi. Teknik ayrintilar yeterince rahatsiz edici: bu satiri okumayi birakip once Apache surumuzu kontrol etmenizi oneririm. Kontrol ettiniz mi? Guzel. O zaman konuya girebiliriz. Acik Nedir? CVE-2026-23918, Apache httpd 2.4.66’nin mod_http2 modulunde, ozellikle akim temizleme (stream cleanup) kodunda bulunan bir “double free” (cift-serbest birakma) acikidir. Cift-serbest birakma, programin ayni bellek blogunu iki kez serbest birakmayi calistigi durumda ortaya cikar — ayirici (allocator) ic durumunu bozar, tipik olarak cokmelere, bazen daha kotusuyle sonuclanir. ...