Az Apache HTTP Server új CVE-2026-23918 sérülékenysége HTTP/2 környezetben DoS és akár Remote Code Execution támadást is lehetővé tehet.
A Apache HTTP Server újonnan javított sérülékenysége komoly figyelmeztetést váltott ki a biztonsági szakmában, miután kutatók bizonyították, hogy a hiba:
- szolgáltatásmegtagadási (DoS) támadást
- bizonyos környezetekben pedig akár Remote Code Executiont (RCE)
is lehetővé tehet.
A sérülékenység:
👉 CVE-2026-23918
👉 CVSS: 8.8
👉 érintett verzió: Apache 2.4.66
👉 javított verzió: Apache 2.4.67
Mi a probléma?
A hiba az Apache HTTP/2 moduljában található:
👉 mod_http2
A sérülékenység típusa:
Double Free memóriahiba
Ez azt jelenti, hogy:
- ugyanazt a memória-területet
- a rendszer kétszer próbálja felszabadítani
ami:
- memóriakorruptcióhoz
- összeomláshoz
- vagy akár kódfuttatáshoz vezethet.
Hogyan működik a támadás?
A kutatók szerint a támadó:
- küld egy HTTP/2 HEADERS frame-et
- majd azonnal egy RST_STREAM frame-et
- még mielőtt az Apache teljesen regisztrálná a streamet
Ez:
👉 duplikált cleanup folyamatot indít
végül pedig:
👉 ugyanaz a pointer kétszer kerül felszabadításra.
DoS támadás: nagyon könnyen kivitelezhető
A DoS rész különösen veszélyes, mert:
- nincs szükség hitelesítésre
- nincs szükség speciális konfigurációra
- egyetlen TCP kapcsolat is elég lehet
A támadó:
👉 worker processeket tud összeomlasztani
Bár az Apache újraindítja őket:
- folyamatos támadással
- a szolgáltatás instabillá válhat.
A veszélyesebb rész: Remote Code Execution
A kutatók laborban sikeresen demonstrálták:
👉 a távoli kódfuttatást is.
Ehhez a támadó:
- memória újrafelhasználást manipulál
- hamis belső struktúrákat injektál
- majd átirányítja a program végrehajtását
akár:
👉 system() hívásokra.
Mi segíti az exploitot?
A támadás egyik kulcseleme:
👉 Apache scoreboard shared memory
Ez:
- stabil memória-címen marad
- ASLR mellett is
így segíti:
- memória layout előrejelzését
- exploit megbízhatóságát
Mely rendszerek érintettek leginkább?
🔴 Veszélyeztetett
- HTTP/2 engedélyezve
- multi-threaded Apache konfiguráció
- Debian alapú rendszerek
- Docker image-ek
- event / worker MPM
🟢 Nem érintett
A kutatók szerint:
👉 prefork MPM
nem sebezhető.
Miért különösen veszélyes?
A Apache HTTP Server:
- a világ egyik legelterjedtebb webszervere
- enterprise rendszerekben
- cloud környezetekben
- reverse proxyként
- konténerplatformokon
is tömegesen használják.
További javított sérülékenységek
A 2.4.67 verzió további hibákat is javít:
CVE-2026-28780
mod_proxy_ajp
👉 heap overflow
CVE-2026-29168
mod_md
👉 OCSP response resource exhaustion
CVE-2026-29169
mod_dav_lock
👉 NULL pointer dereference
CVE-2026-24072
mod_rewrite
👉 privilege escalation
Mit kell most tenni?
🔴 Azonnali javaslat
Frissítés:
👉 Apache HTTP Server 2.4.67
Ideiglenes védelem
Ha nem lehet azonnal patch-elni:
HTTP/2 kikapcsolása
különösen:
👉 internet-facing szervereken
Nem használt modulok eltávolítása
Például:
mod_dav_lock
Konfiguráció audit
Ellenőrizni:
.htaccess- rewrite szabályok
- proxy modulok
- HTTP/2 konfiguráció
Miért fontos ez 2026-ban?
A modern támadások egyre inkább:
- infrastruktúra komponenseket
- reverse proxykat
- web gateway-eket
céloznak.
A HTTP/2 különösen érzékeny terület:
- komplex protokoll
- párhuzamos stream kezelés
- memória-intenzív működés
👉 emiatt az ilyen hibák nagyon veszélyesek.
Nagyobb tanulság
Ez az eset ismét megmutatja:
👉 a C nyelven írt nagy infrastruktúra szoftverek memóriahibái továbbra is kritikus támadási felületet jelentenek.
Még:
- ASLR
- modern mitigációk
- sandboxing
mellett is.
Összegzés
A Apache HTTP Server CVE-2026-23918 sérülékenysége:
- könnyen DoS támadásra használható
- bizonyos környezetekben RCE-vé fejleszthető
- HTTP/2 modulhoz kapcsolódik
- Apache 2.4.66 verziót érinti
👉 azonnali frissítés erősen ajánlott.
