สรุปสั้น

บริษัท Apache Software Foundation ปล่อย Apache HTTP Server เวอร์ชัน 2.4.68 เมื่อวันที่ 8 มิถุนายน 2569 แก้ 13 ช่องโหว่ความปลอดภัยที่กระจายอยู่ในหลายโมดูล รวมถึง use-after-free, cross-site scripting, heap-based buffer overflow, denial-of-service, การยกระดับสิทธิ์ และ out-of-bounds read ซึ่งกระทบทุกเวอร์ชันตั้งแต่ 2.4.0 ถึง 2.4.67 ผู้ดูแลที่ใช้รุ่นใดก่อนหน้านี้ถูกขอให้อัปเกรดทันทีเพราะส่วนใหญ่ไม่มี workaround ให้ใช้

ช่องโหว่ที่โดดเด่นในรอบนี้คือ use-after-free 2 ตัว ได้แก่ CVE-2026-29167 ใน mod_ldap (กระทบ 2.4.0–2.4.67) ค้นพบโดยนาย Pavel Kohout จากบริษัท Aisle Research และ CVE-2026-48913 ใน mod_http2 ที่เกิดเมื่อ file handle หมด รายงานโดยนาย Sam Lovejoy จาก IBM X-Force Offensive Research นอกจากนี้ยังมี DoS ที่ทำให้ mod_http2 หมดหน่วยความจำผ่านคำขอ HTTP/2 ที่จงใจ (CVE-2026-49975) และ XSS ใน mod_proxy_ftp ผ่านการสร้างหน้า directory listing ที่ไม่ผ่านการ sanitize (CVE-2026-29170) ขณะที่ CVE-2026-44119 ยอมให้ผู้เขียน .htaccess อ่านไฟล์ด้วยสิทธิ์ของ httpd user

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 9 มิถุนายน พ.ศ. 2569 ว่าบริษัท Apache Software Foundation ปล่อย Apache HTTP Server 2.4.68 เมื่อ 8 มิถุนายน 2569 พร้อมแก้ 13 ช่องโหว่ที่กระจายอยู่ในโมดูลหลัก รวมถึงประเภทร้ายแรงเช่น use-after-free, heap overflow และ DoS ผู้ดูแลทุกระบบที่ใช้ Apache เวอร์ชันก่อนหน้านี้ทั้งหมดควรอัปเกรดทันที

ช่องโหว่กลุ่ม use-after-free มี 2 ตัว ตัวแรก CVE-2026-29167 อยู่ใน mod_ldap ในการตั้งค่าระดับ per-directory ที่ dangling pointer ถูกทริกเกอร์ในเวอร์ชัน 2.4.0–2.4.67 ค้นพบโดยนาย Pavel Kohout จากบริษัท Aisle Research ส่วน CVE-2026-48913 กระทบ mod_http2 เมื่อ file handle หมดแล้ว กระทบช่วงแคบกว่า 2.4.55–2.4.67 รายงานโดยนาย Sam Lovejoy จาก IBM X-Force Offensive Research

ฝั่ง buffer overflow มี 4 ตัว ได้แก่ CVE-2026-34355 (moderate) ใน mod_proxy_html ที่ใช้ประโยชน์ได้จาก backend ที่ไม่น่าเชื่อถือ, CVE-2026-34356 (low) heap overflow ใน ProxyPassReverseCookieMap, CVE-2026-42536 (low) heap overflow ใน mod_xml2enc ผ่าน xml2StartParse และ CVE-2026-44631 (low) heap underwrite ใน ap_regname ส่วน DoS มี 2 ตัว ได้แก่ CVE-2026-49975 (moderate) ที่หมดหน่วยความจำใน mod_http2 ผ่านคำขอ HTTP/2 ค้นพบโดยนาย Quang Luong จาก Calif.IO ร่วมกับ OpenAI Codex และ CVE-2026-44186 (moderate) ที่ทริกเกอร์ infinite loop ใน mod_proxy_ftp ผ่าน FTP backend ที่ผู้โจมตีคุม

รายละเอียดช่องโหว่

CVE-2026-29170 เป็น XSS ใน mod_proxy_ftp ที่เกิดเมื่อ Apache proxy เนื้อหา FTP directory ทั้งแบบ forward และ reverse proxy โดย output ที่ไม่ถูก sanitize เปิดทางให้ฝัง script ได้ ส่วน CVE-2026-43951 (moderate) เป็น out-of-bounds read ใน merge_response_headers เมื่อ mod_headers และ mod_mime จัดการ response language หลายภาษา ทำให้ child process crash

CVE-2026-42535 (moderate) เป็นปัญหา path handling ใน mod_dav_fs ที่ยอมให้ WebDAV author จัดการ DAV property database ที่เชื่อถือได้ ขณะที่ CVE-2026-44185 (low) เป็น stack buffer over-read ใน OCSP send_request ของ mod_ssl ผ่าน OCSP server ที่ผู้โจมตีคุม ส่วน CVE-2026-44119 (moderate) อันตรายสุดในกลุ่ม low/moderate เพราะยอมให้ผู้เขียน .htaccess ในเครื่องอ่านไฟล์ด้วยสิทธิ์ของ httpd user รายงานโดย 10 นักวิจัยอิสระ

ผลกระทบต่อไทย

หน่วยงานราชการ มหาวิทยาลัย ผู้ให้บริการ shared hosting และระบบ legacy ของไทยจำนวนมากยังรัน Apache HTTP Server เป็น web server หลัก ทั้งสำหรับเว็บประชาสัมพันธ์ ระบบ e-Service และ reverse proxy ของแอปพลิเคชันภายใน เซิร์ฟเวอร์เหล่านี้ครอบคลุมในช่วงเวอร์ชัน 2.4.0–2.4.67 จึงมีความเสี่ยงโดยตรงจากทั้ง 13 ช่องโหว่นี้

ผู้ให้บริการที่เปิดใช้ mod_http2 (HTTP/2 ทุกระบบที่เปิด TLS โดยมาตรฐาน) จะเสี่ยงต่อ DoS CVE-2026-49975 ที่ทำให้เซิร์ฟเวอร์หมดหน่วยความจำเพียงแค่รับ HTTP/2 request ที่ผิดปกติ ส่วนผู้ที่ใช้ mod_proxy_ftp หรือ mod_proxy_html เป็น reverse proxy ระวัง XSS, infinite loop และ buffer overflow ที่ทริกเกอร์ผ่าน backend ที่ถูกเจาะ องค์กรที่ให้บริการ shared hosting และอนุญาตให้ลูกค้าเขียน .htaccess ต้องระวัง CVE-2026-44119 ที่อาจเปิดทางอ่านไฟล์ของลูกค้ารายอื่น

คำแนะนำ

อัปเกรดไป Apache HTTP Server 2.4.68 ทันทีจากหน้าดาวน์โหลดอย่างเป็นทางการที่ httpd.apache.org/download.cgi และหลังอัปเกรดต้องรีสตาร์ทบริการเพื่อให้แพตช์มีผล สำหรับผู้ใช้ดิสโทรของ Linux ที่ติดตั้งผ่าน package manager รอ backport ของ distribution ผู้ใช้และตรวจ security advisory เป็นระยะ

หากยังอัปเกรดไม่ได้ทันที ให้พิจารณาปิด mod_proxy_ftp ถ้าไม่ได้ใช้ และจำกัดผู้สามารถเขียน .htaccess ในระบบ shared hosting ผ่าน AllowOverride None สำหรับ directory ที่ผู้ใช้ไม่ควรเขียน ตรวจสอบ log ของ mod_http2 และ child process crash เพื่อหาสัญญาณการโจมตี และพิจารณาใช้ WAF เช่น ModSecurity เพื่อตรวจจับ pattern ของ XSS payload และ HTTP/2 request ที่ผิดปกติ ในเวลาเดียวกันให้ตรวจสอบ backend FTP/HTTP ของ reverse proxy ว่าไม่ได้ถูกเจาะ เพราะหลายช่องโหว่ในรอบนี้ทริกเกอร์ผ่าน backend ที่ผู้โจมตีคุม

แหล่งอ้างอิง