هشدار برای مدیران سرور: آپدیتِ حیاتی آپاچی را به سرعت دریافت کنید!

هشدار امنیتی مهم برای مدیران سرور و شبکه؛ اگر از وب‌سرور آپاچی استفاده می‌کنید، باید در اسرع وقت سیستم‌های خود را به‌روزرسانی کنید.

تصور کنید نیمه‌شب، سایت‌تان ناگهان از دسترس خارج شود و هر بار که آن را بالا می‌آورید، دوباره از کار بیفتد. این دقیقاً سناریویی است که یک باگ جدید در آپاچی می‌تواند رقم بزند.

بنیاد نرم‌افزار آپاچی آسیب‌پذیری بسیار خطرناکی را با شناسه CVE-2026-23918 (با امتیاز بحرانی ۸.۸) برطرف کرده است که به هکرها اجازه می‌دهد سرور شما را (با حمله‌ی DDoS) به‌راحتی از کار بیندازند. حتی در برخی شرایط خاص، احتمال اجرای کد از راه دور (RCE) نیز وجود دارد.

کدام نسخه‌ها در خطرند؟

این باگ، نسخه 2.4.66 سرور آپاچی را تحت‌تاثیر قرار می‌دهد و خوشبختانه در نسخه 2.4.67 کاملاً برطرف شده است. مشکل اصلی در پردازش پروتکل HTTP/2 (ماژول mod_http2) و روند پاکسازی استریم‌ها نهفته است که منجر به خطای «آزادسازی دوگانه حافظه» (Double Free) می‌شود. یعنی یک بخش از حافظه دو بار آزاد می‌شود که رفتار غیرقابل پیش‌بینی سیستم را به دنبال خواهد داشت.

چرا این آسیب‌پذیری برای زیرساخت‌ها بسیار خطرناک است؟

• حمله منع سرویس (DoS) بی‌نهایت ساده می‌شود: مهاجم بدون نیاز به هیچ‌گونه احراز هویت، هدرهای خاص یا دسترسی قبلی، با یک اتصال TCP و ارسال فریم‌های خاص، می‌تواند Worker را در سرور از کار بیندازد. گرچه آپاچی دوباره راه‌اندازی می‌شود، اما تمام درخواست‌های کاربرانِ در حال پردازش، از دست می‌رود. تکرار این کار توسط هکر به معنای قطعی مداوم سرویس شماست.
• سرورهای اوبونتو/دبیان و داکر در خطر: درحالی‌که اجرای کد از راه دور (RCE) روی کاغذ دشوار به نظر می‌رسد، اما محققان امنیتی نشان‌ داده‌اند که در برخی سناریوهای واقعی روی ایمیج‌های رسمی داکر آپاچی (httpd) و سرورهای دبیان و اوبونتو، چنین رسوخی ممکن خواهد بود. هکرها با دور زدن سدهای امنیتی مانند ASLR و سوءاستفاده از حافظه بخش مدیریت وضعیت پردازش‌ها در آپاچی (Scoreboard) آپاچی، کدهای مخرب خود را با موفقیت به سیستم تزریق می‌کنند.
  • این مسئله زمانی پررنگ‌تر می‌شود که بدانیم وب‌سرور آپاچی جزو پرکاربردترین معماری‌ها در بین متخصصان شبکه و دواپس در ایران است.

در آخر: چه باید کرد؟

هرچند سیستم‌هایی که فقط از ماژول MPM prefork استفاده می‌کنند تحت‌تاثیر قرار نمی‌گیرند، اما ماژول mod_http2 در اکثر تنظیمات امروزی به‌طور پیش‌فرض فعال است. با توجه به استفاده گسترده از پروتکل H2 و سرویس‌های داکر در زیرساخت‌های استارتاپی و سازمانی، سطح این حمله به‌شدت بالاست.

اگر مهندس نرم‌افزار یا ادمین سیستم هستید، همین حالا نسخه آپاچی سرورهایتان را بررسی کرده و بدون اتلاف وقت آن را به نسخه 2.4.67 یا نسخه‌های جدیدتر ارتقا دهید.