Apache Software Foundation випустила оновлення безпеки для Apache HTTP Server, яке усуває критичну вразливість CVE-2026-23918 (CVSS 8.8) — помилку типу double-free в модулі mod_http2, що дозволяє зловмиснику спричинити відмову в обслуговуванні і, за певних умов, досягти віддаленого виконання коду. Уражено версію 2.4.66; виправлення доступне у версії 2.4.67. З огляду на те, що mod_http2 увімкнений у стандартних збірках Apache і HTTP/2 широко використовується у продуктивних середовищах, поверхня атаки потенційно дуже велика.

Технічна сутність вразливості

Відповідно до запису в NVD, CVE-2026-23918 є вразливістю double-free в обробці протоколу HTTP/2. За даними дослідників, які виявили проблему, помилку локалізовано в шляху очищення потоків у файлі h2_mplx.c.

Як повідомляється, механізм спрацювання такий: клієнт надсилає HTTP/2-кадр HEADERS, після якого негайно надсилається RST_STREAM з ненульовим кодом помилки в тому самому потоці — до того, як мультиплексор встигає зареєструвати потік. У результаті два зворотні виклики nghttp2 (on_frame_recv_cb і on_stream_close_cb) послідовно викликають одну й ту саму функцію очищення, двічі поміщаючи один і той самий вказівник h2_stream до масиву очищення. Під час подальшої ітерації по масиву другий виклик apr_pool_destroy звертається до вже звільненої пам’яті.

Два сценарії експлуатації

Дослідники описують два варіанти впливу:

• Відмова в обслуговуванні (DoS) — за даними дослідників, реалізується дуже просто: достатньо одного TCP-з’єднання та двох кадрів, без автентифікації й спеціальних заголовків. Робочий процес Apache аварійно завершується; хоча сервер його перезапускає, усі запити, які обробляв цей процес, втрачаються. Атаку можна підтримувати безперервно. Імовірно, цей вектор працює на будь-якому стандартному розгортанні з mod_http2 та багатопотоковою моделлю MPM.
• Віддалене виконання коду (RCE) — як повідомляється, дослідники створили робочий proof-of-concept на архітектурі x86_64. Ланцюжок експлуатації, імовірно, використовує повторне виділення пам’яті через mmap для розміщення підробленої структури h2_stream за звільненою віртуальною адресою, перенаправляючи вказівник функції очищення пулу на system(). Як стабільний контейнер для підроблених структур і рядка команди, за даними дослідників, використовується пам’ять scoreboard Apache, яка розташовується за фіксованою адресою протягом усього часу роботи сервера навіть за ввімкненого ASLR.

Важливе застереження: деталі ланцюжка RCE-експлуатації ґрунтуються на заявах дослідників і не підтверджені незалежно через офіційний бюлетень Apache. Самі дослідники зазначають, що практична експлуатація RCE потребує витоку інформації для визначення адрес system() і зміщень scoreboard, а техніка heap spray має ймовірнісний характер. Водночас, за їхніми твердженнями, у лабораторних умовах досягти виконання коду вдається за лічені хвилини.

Уражені конфігурації та масштаб

Вразливість стосується Apache HTTP Server 2.4.66 з увімкненим модулем mod_http2. За даними дослідників, шлях RCE-експлуатації вимагає Apache Portable Runtime (APR) з алокатором mmap, який, імовірно, використовується за замовчуванням у системах на базі Debian та в офіційному Docker-образі httpd.

Як повідомляється, модель MPM prefork не є вразливою до цієї помилки, однак багатопотокові моделі MPM (event, worker), що є стандартними для сучасних розгортань, перебувають у зоні ризику.

На момент публікації CVE-2026-23918 не внесено до каталогу CISA KEV, і немає підтверджених даних про активну експлуатацію у реальних атаках. Статус експлуатації — невідомий.

Оцінка впливу

Apache HTTP Server залишається одним з найпоширеніших веб-серверів у світі. Поєднання кількох факторів робить цю вразливість особливо значущою:

• Модуль mod_http2 увімкнений у стандартних збірках Apache
• HTTP/2 активно використовується у продуктивних середовищах
• DoS-вектор не потребує автентифікації та реалізується мінімальною кількістю мережевих пакетів
• Оцінка CVSS 8.8 вказує на високу критичність

Найбільшому ризику зазнають організації, що використовують Apache HTTP Server 2.4.66 з HTTP/2 у публічно доступних сервісах — веб-хостинг, CDN-вузли, зворотні проксі-сервери та API-шлюзи.

Рекомендації щодо усунення

1. Оновіть Apache HTTP Server до версії 2.4.67 — це основний захід усунення вразливості.
2. Якщо негайне оновлення неможливе, розгляньте тимчасове вимкнення mod_http2 шляхом коментування директиви LoadModule http2_module у конфігурації сервера. Це усуне вектор атаки ціною відмови від HTTP/2.
3. Перевірте використовувану модель MPM: команда apachectl -V | grep MPM покаже поточну конфігурацію. За даними дослідників, prefork не є вразливою, однак це не підтверджено офіційним бюлетенем виробника.
4. Моніторинг: відстежуйте аномальні завершення робочих процесів Apache та сплески HTTP/2-з’єднань із негайним скиданням потоків — це може вказувати на спроби експлуатації DoS-вектора.

З огляду на оцінку CVSS 8.8 і тривіальність DoS-експлуатації, оновлення до Apache HTTP Server 2.4.67 слід виконати в пріоритетному порядку. Організаціям, які експлуатують публічно доступні екземпляри Apache з HTTP/2, рекомендується провести оновлення найближчими днями, не чекаючи появи підтверджених випадків експлуатації вразливості у диких умовах. Подробиці про вразливість доступні в записі NVD для CVE-2026-23918.