Apache เปิดตัว HTTP Server 2.4.68 อัปเดตใหญ่ ปิดความเสี่ยงแฮกเกอร์โจมตีเว็บทั่วโลก
Apache ได้ประกาศเปิดตัว Apache HTTP Server 2.4.68 อย่างเป็นทางการ โดยมาพร้อมการแก้ไขช่องโหว่ด้านความปลอดภัยจำนวนมาก ครอบคลุมทั้งปัญหาการจัดการหน่วยความจำ การยกระดับสิทธิ์การเข้าถึง (Privilege Escalation) การโจมตีแบบปฏิเสธการให้บริการ (Denial of Service) และข้อบกพร่องในการตรวจสอบข้อมูลนำเข้า ที่มีอยู่ในเวอร์ชันตั้งแต่ 2.4.0 จนถึง 2.4.67
แม้ว่าหลายช่องโหว่จะถูกจัดอยู่ในระดับความรุนแรงต่ำ แต่การพบช่องโหว่ระดับปานกลางหลายรายการ โดยเฉพาะช่องโหว่ที่อาจทำให้เซิร์ฟเวอร์ล่ม อ่านข้อมูลนอกขอบเขตหน่วยความจำ หรือเปิดโอกาสให้เกิดการใช้งานสิทธิ์เกินขอบเขต ทำให้การอัปเดตครั้งนี้มีความสำคัญอย่างยิ่งสำหรับองค์กรที่ให้บริการเว็บไซต์ ระบบ Reverse Proxy และบริการคลาวด์ที่เชื่อมต่อกับอินเทอร์เน็ต
Apache HTTP Server ถือเป็นหนึ่งในซอฟต์แวร์เว็บเซิร์ฟเวอร์ที่มีบทบาทสำคัญที่สุดในประวัติศาสตร์อินเทอร์เน็ต โดยทำหน้าที่รับส่งข้อมูลระหว่างเว็บไซต์กับผู้ใช้งานทั่วโลก เว็บไซต์ อีคอมเมิร์ซ ระบบองค์กร แพลตฟอร์มคลาวด์ และบริการออนไลน์จำนวนมากต่างอาศัย Apache เป็นโครงสร้างพื้นฐานหลักในการให้บริการ
ด้วยความเป็นซอฟต์แวร์โอเพนซอร์สที่มีความเสถียร รองรับการขยายความสามารถผ่านโมดูลจำนวนมาก และถูกใช้งานในองค์กรทุกขนาด การค้นพบช่องโหว่ใน Apache จึงไม่ใช่เพียงปัญหาของซอฟต์แวร์ตัวหนึ่ง แต่เป็นประเด็นที่ส่งผลต่อความมั่นคงปลอดภัยของระบบดิจิทัลทั่วโลก การอัปเดตแพตช์อย่างสม่ำเสมอจึงเป็นหนึ่งในมาตรการสำคัญที่ช่วยลดความเสี่ยงจากการโจมตีทางไซเบอร์ในยุคปัจจุบัน
แก้ช่องโหว่สำคัญในโมดูลยอดนิยม เสี่ยงเซิร์ฟเวอร์ล่มและรันโค้ดอันตราย
หนึ่งในประเด็นสำคัญของการอัปเดตครั้งนี้คือการแก้ไขช่องโหว่ประเภท Memory Corruption ในโมดูลที่มีการใช้งานอย่างแพร่หลาย ได้แก่ mod_proxy_html, mod_xml2enc และ mod_http2 ซึ่งอาจถูกโจมตีผ่านการส่งข้อมูลตอบกลับจาก Backend ที่เป็นอันตราย หรือการสร้างคำร้องขอ (Request) ที่ออกแบบมาเฉพาะ
ตัวอย่างเช่น ช่องโหว่ CVE-2026-34355 และ CVE-2026-34356 เป็นช่องโหว่ประเภท Buffer Overflow ที่เกี่ยวข้องกับระบบ Reverse Proxy หากผู้โจมตีสามารถควบคุมระบบ Backend หรือใช้ประโยชน์จากการตั้งค่าที่ไม่เหมาะสมได้ อาจทำให้เซิร์ฟเวอร์เกิดความไม่เสถียร หรือในบางกรณีอาจนำไปสู่การรันโค้ดที่ไม่ได้รับอนุญาต
นอกจากนี้ Apache ยังแก้ไขช่องโหว่ CVE-2026-49975 ในโมดูล mod_http2 ซึ่งเปิดโอกาสให้ผู้โจมตีใช้คำร้องขอ HTTP/2 ที่ถูกออกแบบมาเป็นพิเศษ เพื่อบังคับให้เซิร์ฟเวอร์จัดสรรหน่วยความจำจำนวนมากผิดปกติ ส่งผลให้ทรัพยากรระบบหมดและอาจทำให้บริการล่มได้ โดยเฉพาะเว็บไซต์ที่รองรับปริมาณผู้ใช้งานจำนวนมาก
กระทบทั้งระบบสิทธิ์ WebDAV และการทำงานของ Proxy
นอกเหนือจากปัญหาด้านหน่วยความจำแล้ว Apache ยังได้แก้ไขช่องโหว่ด้านสิทธิ์การเข้าถึงหลายรายการ โดยเฉพาะ CVE-2026-44119 ซึ่งเกิดจากการประมวลผล Expression ภายในไฟล์ .htaccess อย่างไม่ถูกต้อง ส่งผลให้ผู้ใช้ภายในระบบบางรายอาจเข้าถึงทรัพยากรที่ควรถูกจำกัดสิทธิ์ได้
อีกหนึ่งช่องโหว่ที่ได้รับความสนใจคือ CVE-2026-42535 ในโมดูล mod_dav_fs ซึ่งเกี่ยวข้องกับการจัดเก็บคุณสมบัติของ WebDAV โดยอาจถูกใช้เพื่อทำให้โปรเซสของเซิร์ฟเวอร์ล่มได้ โดยเฉพาะในระบบที่รองรับการทำงานร่วมกันหรือระบบจัดการเอกสารออนไลน์
ขณะเดียวกันยังมีการแก้ไขช่องโหว่อื่น ๆ ที่เกี่ยวข้องกับการจัดการโปรโตคอลและการประมวลผลข้อมูลในกรณีพิเศษ เช่น ช่องโหว่ Out-of-Bounds Read ในระบบรวมส่วนหัวข้อมูล (Header Merging) ช่องโหว่ Infinite Loop ใน mod_proxy_ftp และช่องโหว่ Cross-Site Scripting (XSS) ที่อาจเกิดขึ้นในหน้ารายการไดเรกทอรี FTP
แม้ช่องโหว่บางรายการจะถูกจัดให้อยู่ในระดับความรุนแรงต่ำ เช่น Use-After-Free และ Heap Underflow แต่ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าช่องโหว่เหล่านี้สามารถถูกนำไปเชื่อมโยงกับช่องโหว่อื่นเพื่อเพิ่มประสิทธิภาพในการโจมตีได้
จากมุมมองด้านภัยคุกคาม ความเสี่ยงในการถูกโจมตีจะขึ้นอยู่กับลักษณะการติดตั้งระบบ โดยเฉพาะองค์กรที่ใช้งาน Reverse Proxy เชื่อมต่อ Backend ภายนอก เปิดใช้งาน WebDAV หรือรองรับ HTTP/2 มีความเสี่ยงสูงกว่าการใช้งานทั่วไป
Apache แนะนำให้องค์กรที่เปิดให้บริการเซิร์ฟเวอร์บนอินเทอร์เน็ตดำเนินการอัปเกรดเป็นเวอร์ชัน 2.4.68 โดยเร็วที่สุด พร้อมตรวจสอบโมดูลที่เปิดใช้งาน ทบทวนขอบเขตความเชื่อถือระหว่างระบบ Backend และติดตามพฤติกรรมการรับส่งข้อมูลที่ผิดปกติซึ่งอาจบ่งชี้ถึงความพยายามโจมตี
การค้นพบและรายงานช่องโหว่ครั้งนี้เกิดจากความร่วมมือของนักวิจัยด้านความปลอดภัยจากหลายองค์กร รวมถึง Depth First, Aisle Research และ IBM X-Force โดยแพตช์ได้รับการพัฒนาในช่วงต้นเดือนมิถุนายน 2026 และเผยแพร่อย่างเป็นทางการเมื่อวันที่ 8 มิถุนายน 2026