Die Apache Software Foundation hat ein Sicherheitsupdate für Apache HTTP Server veröffentlicht, das die kritische Schwachstelle CVE-2026-23918 (CVSS 8.8) behebt – einen Double-free-Bug im Modul mod_http2, der es Angreifern ermöglicht, einen Denial-of-Service auszulösen und unter bestimmten Bedingungen Remote Code Execution zu erreichen. Betroffen ist Version 2.4.66; der Fix steht in Version 2.4.67 bereit. Da mod_http2 in Standard-Builds von Apache aktiviert ist und HTTP/2 in Produktionsumgebungen weit verbreitet ist, ist die potenzielle Angriffsfläche sehr groß.

Technischer Kern der Schwachstelle

Dem Eintrag in der NVD zufolge stellt CVE-2026-23918 eine Double-free-Schwachstelle in der Verarbeitung des HTTP/2-Protokolls dar. Nach Angaben der Forschenden, die das Problem entdeckt haben, ist der Fehler im Bereinigungspfad für Streams in der Datei h2_mplx.c lokalisiert.

Nach vorliegenden Berichten funktioniert der Auslösemechanismus wie folgt: Ein Client sendet einen HTTP/2-HEADERS-Frame, auf den unmittelbar ein RST_STREAM mit einem von Null verschiedenen Fehlercode auf demselben Stream folgt – und zwar noch bevor der Multiplexer den Stream registrieren kann. In der Folge rufen zwei nghttp2-Callbacks (on_frame_recv_cb und on_stream_close_cb) nacheinander dieselbe Aufräumfunktion auf und tragen denselben Zeiger h2_stream zweimal in ein Bereinigungsarray ein. Bei der anschließenden Iteration über das Array greift der zweite Aufruf von apr_pool_destroy auf bereits freigegebenen Speicher zu.

Zwei Angriffsszenarien

Die Forschenden beschreiben zwei mögliche Auswirkungen:

• Denial-of-Service (DoS) – nach Angaben der Forschenden lässt sich dieser Vektor trivial ausnutzen: Es genügt eine einzige TCP-Verbindung und zwei Frames, ohne Authentifizierung und ohne spezielle Header. Der Apache-Worker-Prozess stürzt ab; der Server startet ihn zwar neu, aber alle Anfragen, die von diesem Prozess bearbeitet wurden, gehen verloren. Der Angriff kann dauerhaft aufrechterhalten werden. Es wird vermutet, dass dieser Vektor in jeder Standardinstallation mit mod_http2 und einem Multi-Thread-MPM funktioniert.
• Remote Code Execution (RCE) – den Berichten zufolge haben die Forschenden einen funktionierenden Proof-of-Concept auf x86_64-Architektur erstellt. Die Exploit-Kette nutzt mutmaßlich eine erneute Speicherallokation über mmap, um eine gefälschte Struktur h2_stream an der freigegebenen virtuellen Adresse zu platzieren und den Funktionszeiger der Pool-Bereinigung auf system() umzubiegen. Als stabiler Container für die gefälschten Strukturen und die Befehlszeichenkette dient nach Angaben der Forschenden der Apache-Scoreboard-Speicher, der während der gesamten Laufzeit des Servers selbst bei aktiviertem ASLR an einer festen Adresse liegt.

Wichtiger Hinweis: Die Details der RCE-Exploit-Kette basieren auf den Aussagen der Forschenden und sind nicht unabhängig über das offizielle Apache-Bulletin bestätigt. Die Forschenden selbst weisen darauf hin, dass eine praktikable RCE-Exploitation einen Information Leak erfordert, um die Adressen von system() und die Offsets des Scoreboards zu bestimmen, und dass die Heap-Spray-Technik probabilistischer Natur ist. Ihren Angaben zufolge wird jedoch in Laborumgebungen die Codeausführung innerhalb von Minuten erreicht.

Betroffene Konfigurationen und Umfang

Die Schwachstelle betrifft Apache HTTP Server 2.4.66 mit aktiviertem Modul mod_http2. Nach Angaben der Forschenden setzt der RCE-Exploit-Pfad eine Apache Portable Runtime (APR) mit mmap-Allocator voraus, der mutmaßlich standardmäßig auf Debian-basierten Systemen und im offiziellen httpd-Docker-Image verwendet wird.

Berichten zufolge ist das Modell MPM prefork von dieser Schwachstelle nicht betroffen, während die Multi-Thread-MPM-Modelle (event, worker), die in modernen Deployments üblich sind, gefährdet sind.

Zum Zeitpunkt der Veröffentlichung ist CVE-2026-23918 noch nicht in den CISA-KEV-Katalog aufgenommen, und es liegen keine bestätigten Hinweise auf aktive Ausnutzung in the wild vor. Der Exploit-Status ist unbekannt.

Einschätzung der Auswirkungen

Apache HTTP Server gehört weiterhin zu den am weitesten verbreiteten Webservern weltweit. Eine Kombination mehrerer Faktoren macht diese Schwachstelle besonders relevant:

• Das Modul mod_http2 ist in Standard-Builds von Apache aktiviert
• HTTP/2 wird in Produktionsumgebungen intensiv genutzt
• Der DoS-Vektor erfordert keine Authentifizierung und lässt sich mit einer minimalen Anzahl von Netzwerkpaketen ausführen
• Der CVSS-Score von 8.8 weist auf eine hohe Kritikalität hin

Am stärksten gefährdet sind Organisationen, die Apache HTTP Server 2.4.66 mit HTTP/2 in öffentlich zugänglichen Diensten einsetzen – etwa Webhosting-Umgebungen, CDN-Knoten, Reverse-Proxys und API-Gateways.

Empfehlungen zur Abhilfe

1. Aktualisieren Sie Apache HTTP Server auf Version 2.4.67 – dies ist die primäre Maßnahme zur Behebung der Schwachstelle.
2. Falls ein sofortiges Update nicht möglich ist, ziehen Sie das temporäre Deaktivieren von mod_http2 in Betracht, indem Sie die Direktive LoadModule http2_module in der Serverkonfiguration auskommentieren. Dadurch wird der Angriffsvektor eliminiert, allerdings auf Kosten des Verzichts auf HTTP/2.
3. Prüfen Sie das eingesetzte MPM-Modell: Der Befehl apachectl -V | grep MPM zeigt die aktuelle Konfiguration. Nach Angaben der Forschenden ist prefork nicht verwundbar, dies ist jedoch nicht durch ein offizielles Bulletin des Herstellers bestätigt.
4. Monitoring: Überwachen Sie ungewöhnliche Abstürze von Apache-Worker-Prozessen und Spitzen bei HTTP/2-Verbindungen mit sofortigem Stream-Reset – dies kann auf Versuche hinweisen, den DoS-Vektor auszunutzen.

Angesichts des CVSS-Scores von 8.8 und der trivialen DoS-Exploitation sollte das Update auf Apache HTTP Server 2.4.67 mit hoher Priorität erfolgen. Organisationen, die öffentlich erreichbare Apache-Instanzen mit HTTP/2 betreiben, wird empfohlen, das Update in den kommenden Tagen durchzuführen, ohne auf bestätigte Fälle von Ausnutzung in the wild zu warten. Details zur Schwachstelle finden sich im NVD-Eintrag zu CVE-2026-23918.