Apache HTTP/2 Cift Bosaltma (Double-Free) Acigi: CVE-2026-23918 – 8.8 CVSS ile Kritik RCE Riski

Apache Software Foundation, 4 Mayis 2026 tarihinde Apache HTTP Server 2.4.67 sürümünü yayınladı. Bu güncelleme, milyonlarca sunucuyu etkileyen kritik bir güvenlik yaması içeriyor: CVE-2026-23918. HTTP/2 protokol işleme mantığındaki bir çift boşaltma (double-free) hatası, saldıranlara uzaktan kod çalıştırma (RCE) yetkisi verebiliyor.

“CVSS Skoru: 8.8 (High) | Etkilenen Sürüm: Apache HTTP Server 2.4.66 | Düzeltme: 2.4.67″

Apache HTTP/2 Nedir ve Neden Önemli?

HTTP/2, HTTP/1.1’in halefi olan modern bir ağ protokolüdür. 2015’te standardize edilmiş olup şu özellikleri sunar:

• Multiplexing: Tek TCP bağlantısında birden fazla istek/yanıt eşzamanlı iletilebilir
• Header sıkıştırma (HPACK): Bandwidth tasarrufu
• Sunucu itme (Server Push): İstek olmadan kaynak gönderme
• Stream önbelleğe alma: Kaynakların önceki isteklerden hatırlanması

Bugün internetdeki en popüler web sunucularının önemli bir kısmı HTTP/2 destekliyor. Apache’nin bu özelliginin ön tanımlı olması, açığın devasa bir tehdit düzeyi oluşturduğu anlamına geliyor.

Guvenlik Acikligi: Cift Boşaltma (Double-Free) Nedir?

CWE-415 ile kategorize edilen bu güvenlik hatası, bellek yönetiminde kritik bir kusurdur.

Normal Bellek İslemini Anlamak

Bir program çalıştıgında, işletim sistemi ona bellek ayırır. Bu bellek malloc() (veya benzeri) ile ayrılır ve free() ile geri bırakılır. Doğru çalişan bir programda her ayırma sonunda boşaltma yapılır:

buf = malloc(256);     // Bellek ayir
// ... kullan ...
free(buf);              // Bellek geri al (basarili)

Double-Free Hatasında Ne Olur?

Aynı bellek blogu iki kez serbest bırakılmaya çalışıldığında, güvenlik açiği ortaya çikar:

buf = malloc(256);      // Bellek ayir
free(buf);              // Bellek geri al
free(buf);              // HATA! Ayni bellek tekrar bosaltiliyor

İkinci free() çağrısı işletim sistemi tarafından görülmez sayılır; ancak heap yapıları bozulur. Saldırgan bu bozulmayı heap corruption üzerinden code execution‘a dönüştürebilir.

CVE-2026-23918: Teknik Detaylar

Tetikleme Mekanizması: Early Stream Reset

HTTP/2’de “stream” eşzamanlı bir istek-yanıt sayısıdır. Erken stream sıfırlama (reset), bir istemcinin stream’i henüz tamamlanmadan kapatmasıdır. Apache’nin HTTP/2 implementasyonunda bu senaryoda:

1. Stream oluşturulur ve bellek ayrılır
2. Erken reset sinyali gelir
3. Bellek iki kez bosaltılır: Birinci normal akış içinde, ikincisi reset işleyicisinde
4. Heap bozulmasi: Bellek yönetim yapıları çakışıyor
5. Code Execution: Saldırgan heap düzenini manipule ederek kendi kodunu calıstırabilir

Neden Bu Açık Ciddi?

1. Geniş Etki Yüzeyi

Apache HTTP Server, dünyada en cok kullanılan web sunucusu. Netcraft’in 2026 verilerine gore aktif sunucuların ~%30-35’i Apache kullanıyor. Bu oran, yüz milyonlarca website anlamına geliyor.

2. Uzaktan Kod Calistirma (RCE)

CVSS 8.8 skoru, ağ üzerinden gelen bir saldırı ile tam sistem kontrolune erişilebileceğini ğösteriyor. Fiziksel erisime gerek yok.

3. Otomatik İstismar Potansiyeli

Double-free hatası, yıllarını içeren bir geçmis ve olgun istismar tekniklerine sahip. Metasploit modülünün yakinda yayınlanması bekleniyor.

4. Parsel Zamanı Tehdidi

Yama yayınlandıktan sonra, güvenlik topluluğu ve saldırganlar aynı anda yamayı analiz ediyor. Artık günler hatta saatler içinde çalışan istismar kodu ortaya cıkabilir.

Diger Güvenlik Yamalari: 2.4.67 Sürümünde 5 Açik

Apache 2.4.67 ile birlikte toplam 5 güvenlik sorunu giderildi:

Nasil Korunulur?

1. Acil Yama: Apache 2.4.67’ye Geçiş

Kesin çözüm Apache’yi 2.4.67 sürümüne güncellemektir. Yonetici paneline veya sunucu terminaline erisim gerektirir.

# AlmaLinux / RHEL / CentOS (EasyApache 4)
sudo dnf clean all
sudo dnf makecache
sudo dnf -y update ea-apache24
sudo systemctl restart httpd

# Ubuntu / Debian
sudo apt update
sudo apt install --only-upgrade "apache2"
sudo systemctl restart apache2

# Manuel derleme
wget https://httpd.apache.org/dist/httpd/httpd-2.4.67.tar.gz
tar -xzf httpd-2.4.67.tar.gz
cd httpd-2.4.67
./configure --enable-ssl --enable-http2
make && make install
sudo systemctl restart httpd

2. Geçici Mitigasyon: HTTP/2’yi Devre Disi Birakmak

Yama yapılıncaya kadar HTTP/2 devre dısı bırakılabilir. Bu tam güvenlik sağlamaz ama RCE vektorünü kaldırır.

# Apache'de HTTP/2'yi devre dışı bırakma
# httpd.conf veya ssl.conf icinde:

# Yorum satırına al:
# Protocols h2 http/1.1

# YERINE:
Protocols http/1.1

sudo systemctl restart httpd

3. Sürüm Kontrolü

httpd -v
# Server version: Apache/2.4.66
# Server built:   Jan 15 2026 10:30:00

4. Yapılandırma Analizi

# HTTP/2'nin aktif olup olmadığını kontrol etme
apachectl -M | grep http2
# mod_http2.c yuku ise HTTP/2 aktif demektir

Sunucum Etkileniyor mu?

Asagidaki durumlardan herhangi biri varsa sunucunuz risk altında demektir:

• Apache HTTP Server 2.4.66 surumu calışıyor
• Sunucu genel internet’e açık (public)
• HTTP/2 protokolü aktive

Test Komutlari

# Sürüm kontrol
httpd -v 2>&1 | grep "Server version"

# PID ile tam yol
ps aux | grep httpd

# HTTP/2 destek kontrolu (curl)
curl -I --http2 https://siteniz.com/

Sonraki Adimlar

1. Hemen sunucu envanterini kontrol et – 2.4.66 sürümü tespit et
2. Kesin çözüm olarak güncellemeyi planla – Yedek al, test et, canliya al
3. Geçici mitigasyon uygula – HTTP/2 kapatilmasi
4. WAF (Web Application Firewall) ile ek koruma – ModSecurity ve benzeri
5. Güvenlik izleme ve uyari sistemleri – Başarısız login ve anomali takibi

Kaynaklar:

• Apache Security Vulnerabilities Page (2.4.x)
• CVE-2026-23918 – CVE.org
• NVD – National Vulnerability Database
• Apache HTTP Server Download