In Apache HTTP Server 2.4.66 wurde eine Double-Free-Schwachstelle im HTTP/2-Stack entdeckt. Das bedeutet: Ein bereits freigegebener Speicherbereich wird ein zweites Mal freigegeben, was zu korruptem Heap-Speicher führt. Im schlimmsten Fall lässt sich darüber beliebiger Code auf dem Server ausführen – ein klassischer Remote-Code-Execution-Angriff. Der Auslöser ist ein früher Reset einer HTTP/2-Verbindung, ein Muster das Angreifer gezielt herbeiführen können. Mit CVSS 8.8 und dem technischen Impact „total“ stuft auch die US-Behörde CISA die Lücke als ernstzunehmend ein, auch wenn bisher keine aktive Ausnutzung bekannt ist.
Bin ich betroffen? Ausschließlich Version 2.4.66 ist laut CVE-Eintrag betroffen – ältere und neuere Versionen gelten als nicht verwundbar. Prüfe deine installierte Version mit apache2 -v oder httpd -v. Zusätzlich muss HTTP/2 aktiv sein, erkennbar an Protocols h2 in der Konfiguration oder per apache2ctl -M | grep http2.
Empfehlung: Update auf 2.4.67, das beide Apache-Lücken dieser Woche schließt. Wer 2.4.66 betreibt und nicht sofort patchen kann, kann HTTP/2 vorübergehend deaktivieren, indem in der Konfiguration Protocols http/1.1 gesetzt wird. Das schränkt Performance leicht ein, schließt aber den Angriffsvektor. Für öffentlich erreichbare Server ist rasches Handeln angeraten, da ein authentifizierter Angreifer mit einfachem Zugriff ausreicht – kein Admin-Account nötig.
Gefunden von Bartlomiej Dmitruk (striga.ai) und Stanislaw Strzalkowski (isec.pl) · Quellen: CVE-2026-23918 · Apache Security Advisory
