06 czerwca 2026 • root • PrywatnyInformatyk.pl
W czerwcu 2026 roku Debian opublikował poprawki bezpieczeństwa dla podatności CVE-2026-49975, która dotyczy serwera Apache HTTP Server i obsługi protokołu HTTP/2.
Problem może prowadzić do ataku typu Denial of Service, czyli odmowy działania usługi. W praktyce oznacza to możliwość przeciążenia serwera WWW, wzrostu zużycia pamięci RAM i niedostępności stron internetowych.
Na czym polega podatność?
Podatność wynika z nieprawidłowego zliczania nagłówków Cookie w implementacji HTTP/2 w Apache. Atakujący może wysłać specjalnie przygotowane żądania HTTP/2, które powodują nadmierne zużycie zasobów po stronie serwera.
Według komunikatu Debiana problem może prowadzić do excessive resources consumption, czyli nadmiernego zużycia zasobów.
Najważniejsze ryzyko
CVE-2026-49975 nie jest podatnością typu RCE. Nie chodzi tutaj o przejęcie serwera, ale o możliwość jego przeciążenia i doprowadzenia do niedostępności usług WWW.
Co to jest HTTP/2 Bomb?
HTTP/2 Bomb to nazwa klasy ataków, w których atakujący wysyła stosunkowo małą ilość danych, ale serwer musi zużyć znacznie większą ilość pamięci lub mocy obliczeniowej do ich obsłużenia.
W przypadku Apache problem dotyczy obsługi nagłówków Cookie w HTTP/2. Przy odpowiednio spreparowanych żądaniach serwer może zużywać zasoby nieproporcjonalnie do rzeczywistego ruchu sieciowego.
Kogo dotyczy problem?
Zagrożone są serwery Apache, które mają włączoną obsługę HTTP/2, najczęściej przez moduł mod_http2.
Problem może dotyczyć serwerów obsługujących różne aplikacje internetowe, między innymi:
- WordPress,
- Drupal,
- Joomla,
- PrestaShop,
- Roundcube,
- aplikacje Laravel, Symfony i inne systemy PHP.
Sama aplikacja CMS nie musi być podatna. Podatność znajduje się niżej — w serwerze WWW obsługującym ruch HTTP/2.
Czy można przejąć serwer?
Na podstawie dostępnych informacji nie ma obecnie dowodów, że CVE-2026-49975 pozwala na wykonanie kodu, kradzież danych lub przejęcie serwera.
Skutkiem podatności jest przede wszystkim:
- wzrost zużycia pamięci RAM,
- wzrost obciążenia CPU,
- spowolnienie działania Apache,
- niedostępność stron WWW,
- potencjalny wpływ na wielu klientów hostingu współdzielonego.
Poprawione wersje w Debianie
Debian opublikował komunikat bezpieczeństwa DSA-6323-1. Poprawki są dostępne dla Debiana 12 oraz Debiana 13.
| System | Nazwa wydania | Poprawiona wersja Apache |
|---|---|---|
| Debian 12 | Bookworm / oldstable | 2.4.67-1~deb12u3 |
| Debian 13 | Trixie / stable | 2.4.67-1~deb13u3 |
Jak sprawdzić wersję Apache?
Aktualną wersję Apache można sprawdzić poleceniem:
apache2 -vWarto sprawdzić również wersje zainstalowanych pakietów:
dpkg -l apache2 apache2-bin apache2-data apache2-utilsMożna też użyć:
dpkg-query -W apache2 apache2-bin apache2-data apache2-utilsJak sprawdzić, czy HTTP/2 jest aktywne?
Najpierw sprawdź, czy moduł HTTP/2 jest załadowany:
apache2ctl -M | grep http2Jeżeli wynik zawiera:
http2_module (shared)oznacza to, że moduł jest aktywny.
Następnie sprawdź konfigurację protokołów:
grep -R "Protocols" /etc/apache2Jeżeli zobaczysz wpis podobny do:
Protocols h2 http/1.1oznacza to, że Apache obsługuje HTTP/2.
Jak zaktualizować Apache?
Na Debianie aktualizację wykonujemy standardowo:
apt update
apt install apache2 apache2-bin apache2-data apache2-utilsPo aktualizacji warto przeładować Apache:
systemctl reload apache2Jeżeli aktualizacja wymaga pełnego restartu usługi:
systemctl restart apache2Zalecenie dla administratorów
Jeżeli utrzymujesz serwer hostingowy, VPS lub publiczny serwer z Apache, potraktuj tę aktualizację priorytetowo. Podatność może nie prowadzić do przejęcia systemu, ale może skutecznie zatrzymać działanie stron WWW.
Tymczasowe obejście problemu
Jeżeli z jakiegoś powodu nie możesz natychmiast zaktualizować Apache, tymczasowym rozwiązaniem może być wyłączenie HTTP/2.
W konfiguracji Apache można pozostawić tylko HTTP/1.1:
Protocols http/1.1Można też wyłączyć moduł:
a2dismod http2
systemctl restart apache2To rozwiązanie należy traktować jako awaryjne. Docelowo najlepszym wyjściem jest instalacja pakietów z poprawkami bezpieczeństwa.
Dlaczego to ważne dla hostingu współdzielonego?
Na serwerach hostingowych jeden Apache może obsługiwać wiele stron internetowych. Jeżeli atak doprowadzi do przeciążenia serwera WWW, skutki mogą odczuć wszyscy klienci znajdujący się na tym samym serwerze.
Dotyczy to szczególnie środowisk, w których działa wiele popularnych CMS-ów, sklepów internetowych i paneli administracyjnych.
- atak nie musi być skierowany w konkretną aplikację,
- wystarczy podatna obsługa HTTP/2 na serwerze WWW,
- skutki mogą być widoczne dla wielu domen jednocześnie.
Co warto zapamiętać?
CVE-2026-49975 to podatność typu DoS w Apache HTTP Server, związana z obsługą HTTP/2 i nagłówków Cookie.
Nie jest to luka pozwalająca na przejęcie serwera, ale może prowadzić do poważnych problemów z dostępnością usług. W przypadku firm hostingowych, sklepów internetowych i stron firmowych taka niedostępność może oznaczać realne straty.
Najważniejsze działanie to aktualizacja pakietów Apache do wersji zawierających poprawki bezpieczeństwa.