cảnh báo CVE đối với Apache HTTP Server đã được phát hành sau khi Apache Software Foundation công bố bản cập nhật bảo mật quan trọng, vá 5 lỗ hổng CVE trong phiên bản 2.4.67 phát hành ngày 04/05/2026. Người dùng đang chạy 2.4.66 hoặc phiên bản cũ hơn cần cập nhật bản vá ngay để giảm rủi ro bảo mật.
CVE-2026-23918: lỗ hổng CVE nghiêm trọng trong HTTP/2
Lỗi nghiêm trọng nhất là CVE-2026-23918, được đánh giá High với CVSS 8.8. Đây là một lỗi double-free dẫn đến hỏng bộ nhớ heap, có thể bị khai thác để thực thi mã tùy ý trong ngữ cảnh tiến trình httpd.
Vấn đề xảy ra trong phần triển khai HTTP/2 của Apache khi xử lý chuỗi sự kiện “early stream reset”. Khi chương trình giải phóng cùng một vùng nhớ hai lần, cấu trúc quản lý heap bị phá vỡ, từ đó mở ra khả năng remote code execution.
lỗ hổng CVE này chỉ ảnh hưởng đến Apache HTTP Server 2.4.66. Lỗi được báo cáo cho nhóm bảo mật Apache vào ngày 10/12/2025 bởi Bartlomiej Dmitruk và Stanislaw Strzalkowski. Bản sửa đã được đưa vào revision r1930444 ngay ngày hôm sau và phát hành công khai trong 2.4.67.
Ảnh hưởng kỹ thuật của double-free
Trong ngữ cảnh lỗ hổng CVE kiểu double-free, kẻ tấn công có thể thao túng trạng thái heap để thay đổi luồng thực thi. Nếu điều kiện khai thác phù hợp, hậu quả có thể là chiếm quyền điều khiển tiến trình dịch vụ Apache.
Do Apache HTTP Server được triển khai rộng rãi trong môi trường doanh nghiệp, cảnh báo CVE này được xem là một nguy cơ bảo mật đáng chú ý đối với hạ tầng công cộng và nội bộ.
CVE-2026-24072: lỗ hổng CVE trong mod_rewrite
Vulnerability thứ hai là CVE-2026-24072, được xếp mức Moderate. Lỗ hổng nằm trong cách mod_rewrite sử dụng cơ chế đánh giá biểu thức ap_expr.
Lỗi này cho phép tác giả .htaccess cục bộ đọc các tệp tùy ý với quyền của người dùng httpd. Điều đó dẫn đến khả năng mở rộng quyền vượt quá phạm vi truy cập dự kiến.
lỗ hổng CVE này ảnh hưởng đến Apache HTTP Server 2.4.66 và các phiên bản trước đó. Nó được báo cáo vào ngày 20/01/2026.
Hệ thống bị ảnh hưởng
- Apache HTTP Server 2.4.66 và cũ hơn: bị ảnh hưởng bởi CVE-2026-23918 và CVE-2026-24072.
- HTTP/2 implementation: chịu tác động trực tiếp từ lỗi double-free trong chuỗi early stream reset.
- mod_rewrite: có thể bị lạm dụng để đọc tệp cục bộ ngoài phạm vi cho phép.
Các lỗ hổng khác đã được vá
Bản cập nhật 2.4.67 còn xử lý thêm 3 lỗ hổng mức độ thấp hơn. Nội dung gốc không mô tả chi tiết mã CVE của các lỗi này, nhưng chúng nằm trong cùng đợt cập nhật bảo mật của Apache HTTP Server.
Người vận hành hệ thống nên xem đây là một tin tức bảo mật cần ưu tiên, đặc biệt với các máy chủ đang cung cấp dịch vụ Internet-facing.
Khuyến nghị xử lý và cập nhật bản vá
Khuyến nghị chính là nâng cấp ngay lên Apache HTTP Server 2.4.67. Đây là bản phát hành đã bao gồm bản sửa cho cảnh báo CVE liên quan đến remote code execution và lỗi đọc tệp cục bộ.
Thông tin tham khảo chính thức có thể xem tại trang advisory của Apache: https://httpd.apache.org/security/vulnerabilities_24.html.
Trong quá trình kiểm tra an toàn thông tin, cần xác định chính xác phiên bản đang chạy, sau đó lập kế hoạch cập nhật bản vá theo chu kỳ bảo trì phù hợp để giảm nguy cơ bảo mật.
Các điểm cần ưu tiên kiểm tra
- Xác nhận phiên bản Apache HTTP Server đang triển khai.
- Rà soát cấu hình HTTP/2 nếu dịch vụ đang bật.
- Kiểm tra các file .htaccess do người dùng quản trị cục bộ tạo ra.
- Triển khai cập nhật bản vá lên 2.4.67 trên toàn bộ hệ thống liên quan.
Tham chiếu kỹ thuật cho lỗ hổng CVE
CVE-2026-23918: High, CVSS 8.8, lỗi double-free trong HTTP/2, có thể dẫn đến remote code execution.
CVE-2026-24072: Moderate, lỗi trong mod_rewrite và ap_expr, cho phép đọc tệp tùy ý với quyền httpd.
Apache HTTP Server 2.4.67 là bản phát hành chứa bản sửa cho các lỗ hổng CVE nêu trên và là bản cần triển khai để giảm thiểu rủi ro bảo mật.
