CVE-2026-23918: Lỗ hổng RCE trong Apache HTTP/2 – Cập nhật EasyApache 4 ngay

Mục lục

Cập nhật ngày 5/5/2026: Apache Software Foundation vừa phát hành Apache HTTP Server 2.4.67 (4/5/2026), vá CVE-2026-23918 – lỗ hổng Double Free trong implementation HTTP/2 có thể dẫn tới Remote Code Execution. cPanel đã ra release EasyApache 4 cập nhật ea-apache24 lên 2.4.67, đồng thời fix 11 CVE liên quan và backport 6 CVE từ curl 8.20.0 cho ea-libcurl trên CentOS 7.

Tóm tắt lỗ hổng

  • CVE ID: CVE-2026-23918
  • CVSS 3.1: 8.8 (High) – Vector: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
  • CWE: CWE-415 (Double Free)
  • Phiên bản dính: Apache HTTP Server 2.4.66
  • Phiên bản đã fix: Apache HTTP Server 2.4.67 (trên cPanel: ea-apache24 2.4.67)
  • Module liên quan: mod_http2
  • Trigger: HTTP/2 “early stream reset”
  • Khả năng exploit thực tế: Chưa có PoC public hoặc exploit in-the-wild tại thời điểm 5/5/2026, chưa nằm trong CISA KEV
  • Disclosure timeline: Báo cáo 10/12/2025 (striga.ai và isec.pl), patch commit 11/12/2025 (r1930444), public 4/5/2026

Cơ chế lỗ hổng

Lỗ hổng nằm trong mod_http2 khi xử lý chuỗi “early stream reset”. Một attacker gửi request HTTP/2 đặc biệt khiến Apache cấp phát buffer cho stream rồi reset stream đó sớm. Logic giải phóng memory trong code path reset chạy hai lần lên cùng một block heap, gây Double Free. Heap bị corrupt cho phép attacker thao tác tcache/fastbin để chiếm control flow và đạt RCE với quyền của user httpd (thường là nobody hoặc apache trên cPanel).

Khác với CVE-2026-41940 (auth bypass cPanel core), lỗ hổng này nằm ở web server Apache nên ảnh hưởng tới tất cả website đang phục vụ qua HTTP/2 trên server, không chỉ port WHM/cPanel.

Server có bị ảnh hưởng không

SSH vào server và chạy:

# Check version Apache hiện tại
httpd -v
# Hoặc
/usr/local/apache/bin/httpd -v

# Check package ea-apache24
rpm -qa | grep ea-apache24
# Hoặc trên Ubuntu/Debian
dpkg -l | grep ea-apache24

# Kiểm tra HTTP/2 có được bật không
grep -r "Protocols" /etc/apache2/conf.d/ 2>/dev/null | grep h2
grep -r "Protocols" /etc/httpd/conf.d/ 2>/dev/null | grep h2

Nếu version trả về là 2.4.66 và HTTP/2 được bật (cPanel mặc định bật HTTP/2 cho hosting accounts có SSL), server đang vulnerable.

VPS cPanel tại TND đã được cập nhật

Tất cả node VPS Managed và Hosting tại TND đã được cập nhật ea-apache24 lên 2.4.67 thông qua chu kỳ rolling update tự động trong vòng 24h từ khi cPanel push package. Khách hàng dịch vụ Managed không cần thao tác. Khách hàng VPS Self-Managed cần tự thực hiện theo hướng dẫn bên dưới.

Hướng dẫn cập nhật cho VPS Self-Managed

Cách 1: Update qua yum/dnf (khuyến nghị)

Đây là cách nhanh nhất và đảm bảo cPanel quản lý đúng package state:

# 1. Update repo metadata
yum clean all
yum makecache

# 2. Update ea-apache24 và các module liên quan
yum update ea-apache24 ea-apache24-mod_http2 ea-libcurl -y

# 3. Restart Apache qua cPanel script
/scripts/restartsrv_httpd

# 4. Verify
httpd -v
rpm -q ea-apache24

Cách 2: Update qua WHM giao diện

  1. Vào WHM > Home > Software > EasyApache 4
  2. Bấm Customize trên Currently Installed Packages
  3. Đi qua các bước Apache, PHP, Modules, Ruby, Additional Packages
  4. Trang Review sẽ hiện danh sách package được update lên version mới
  5. Bấm Provision và đợi hoàn tất
  6. Apache sẽ tự động restart sau khi xong

Cách 3: Bật auto-update để khỏi lo lần sau

# Tạo cron daily check (nếu chưa có)
echo '0 3 * * * root yum -y update ea-* >> /var/log/yum-ea-update.log 2>&1' > /etc/cron.d/ea-auto-update
chmod 644 /etc/cron.d/ea-auto-update

Hoặc bật auto-update qua WHM > Update Preferences > chọn Daily cho Operating System Package Updates.

Mitigation tạm thời nếu chưa thể update ngay

Nếu lý do nào đó chưa update được (đang trong window maintenance, đang debug issue khác), có thể disable HTTP/2 tạm thời để chặn attack vector của CVE-2026-23918:

# Tạo file include cho cPanel
cat > /etc/apache2/conf.d/disable-http2.conf << 'EOF'
Protocols http/1.1
EOF

# Rebuild Apache config và restart
/scripts/rebuildhttpdconf
/scripts/restartsrv_httpd

# Verify HTTP/2 đã tắt
curl -sI --http2 https://yourdomain.com 2>&1 | grep -i "HTTP/"
# Phải trả về HTTP/1.1, không phải HTTP/2

Lưu ý: tắt HTTP/2 sẽ giảm nhẹ performance trên website có nhiều asset (CSS/JS/font/image) vì mất multiplexing. Đây chỉ là biện pháp tạm thời, vẫn phải update lên 2.4.67 sau đó.

Các CVE khác trong cùng release

Apache 2.4.67 còn vá thêm 4 CVE đáng chú ý mà admin cần biết:

  • CVE-2026-24072 (Moderate): Privilege escalation trong mod_rewrite qua ap_expr. Tác giả của file .htaccess có thể đọc file hệ thống với quyền user httpd. Quan trọng với shared hosting nơi user không tin được.
  • CVE-2026-28780 (Low): Heap buffer overflow trong mod_proxy_ajp, write 4 byte attacker-controlled khi connect tới malicious AJP server. Chỉ relevant nếu reverse proxy tới Tomcat/AJP backend.
  • CVE-2026-29168 (Low): Resource exhaustion trong mod_md qua OCSP response. Chỉ relevant nếu dùng module mod_md để quản lý SSL cert tự động.
  • CVE-2026-33006 (Moderate): Timing attack bypass mod_auth_digest. Phần lớn site cPanel không dùng Digest auth nên ít ảnh hưởng.

So sánh với CVE-2026-41940 tuần trước

Hai lỗ hổng này dù cùng nằm trên cPanel server nhưng khác nhau hoàn toàn về bản chất:

  • CVE-2026-41940: Lỗi trong cPanel core (cpsrvd, session handling). Update qua /scripts/upcp --force. Đã có PoC public, exploit từ tháng 2/2026, ~44.000 IP đã bị compromise. CVSS 9.8.
  • CVE-2026-23918: Lỗi trong Apache web server (mod_http2). Update qua yum update ea-apache24. Chưa có PoC public, chưa exploit in-the-wild. CVSS 8.8.

Tức là server đã update 41940 vẫn vulnerable với 23918, và ngược lại. Cần làm cả hai.

Khuyến nghị từ TND

  • Update ea-apache24 trong tuần này, đừng chờ tới khi PoC public. Apache là target lớn, một khi PoC ra thì exploit scaling rất nhanh.
  • Bật auto-update cho EasyApache packages qua cron daily hoặc WHM Update Preferences. Apache update không bao giờ break gì nếu không có config tay đặc biệt.
  • Audit file .htaccess trên các shared hosting account, đặc biệt account miễn phí hoặc trial. CVE-2026-24072 cho phép user qua .htaccess đọc file hệ thống, dùng để escalate sang đọc /etc/passwd, MySQL config, vân vân.
  • Subscribe trang news.cpanel.com để nhận thông báo EasyApache release. Đây là kênh chính chủ và sớm nhất.
  • Nếu vận hành nhiều server, dùng tool centralized patch management (Ansible, Puppet, hoặc TND HUB nội bộ) thay vì SSH từng máy.

Hỗ trợ từ TND

Khách hàng đang sử dụng dịch vụ VPS hoặc Hosting tại TND nếu cần kiểm tra hoặc hỗ trợ update Apache, vui lòng liên hệ qua kênh hỗ trợ chính thức của TND. Tất cả node Managed đã được cập nhật, đây là thông báo để khách Self-Managed nắm thông tin và tự update.

Tham khảo

  • cPanel Security Advisory: CVE-2026-23918
  • EasyApache 4 Release Notes ngày 5/5/2026
  • Apache HTTP Server 2.4 Vulnerabilities: httpd.apache.org/security/vulnerabilities_24.html
  • NVD: nvd.nist.gov/vuln/detail/CVE-2026-23918
  • oss-security mailing list: seclists.org/oss-sec/2026/q2/387

Chia sẻ bài viết

Có thể bạn quan tâm

X
CVE-2026-23918: Lỗ hổng RCE trong Apache HTTP/2 – Cập nhật EasyApache 4 ngay

Cung cấp dịch vụ hosting, VPS nhanh nhất Việt Nam

  • Phòng 1102 Tầng 11 toà nhà Akashi số 10 Lê Hồng Phong, Quận Ngô Quyền, Tp. Hải Phòng

    Trụ sở chính

  • [email protected]

    Hỗ trợ nhiệt tình

  • 1900.2031

    24/7