Apache HTTP Server: HTTP/2-Lücke ermöglicht Remote Code Execution

In Apache HTTP Server 2.4.66 wurde eine Double-Free-Schwachstelle im HTTP/2-Stack entdeckt. Das bedeutet: Ein bereits freigegebener Speicherbereich wird ein zweites Mal freigegeben, was zu korruptem Heap-Speicher führt. Im schlimmsten Fall lässt sich darüber beliebiger Code auf dem Server ausführen – ein klassischer Remote-Code-Execution-Angriff. Der Auslöser ist ein früher Reset einer HTTP/2-Verbindung, ein Muster das Angreifer gezielt herbeiführen können. Mit CVSS 8.8 und dem technischen Impact „total" stuft auch die US-Behörde CISA die Lücke als ernstzunehmend ein, auch wenn bisher keine aktive Ausnutzung bekannt ist.

Bin ich betroffen? Ausschließlich Version 2.4.66 ist laut CVE-Eintrag betroffen – ältere und neuere Versionen gelten als nicht verwundbar. Prüfe deine installierte Version mit apache2 -v oder httpd -v. Zusätzlich muss HTTP/2 aktiv sein, erkennbar an Protocols h2 in der Konfiguration oder per apache2ctl -M | grep http2.

Empfehlung: Update auf 2.4.67, das beide Apache-Lücken dieser Woche schließt. Wer 2.4.66 betreibt und nicht sofort patchen kann, kann HTTP/2 vorübergehend deaktivieren, indem in der Konfiguration Protocols http/1.1 gesetzt wird. Das schränkt Performance leicht ein, schließt aber den Angriffsvektor. Für öffentlich erreichbare Server ist rasches Handeln angeraten, da ein authentifizierter Angreifer mit einfachem Zugriff ausreicht – kein Admin-Account nötig.

Gefunden von Bartlomiej Dmitruk (striga.ai) und Stanislaw Strzalkowski (isec.pl) · Quellen: CVE-2026-23918 · Apache Security Advisory

Related Posts

Buffer-Overflow in Ruby-Gem Zlib – Update erforderlich

In der Ruby-Standardbibliothek wurde eine Sicherheitslücke (CVE-2026-27820) im Zlib-Gem entdeckt, konkret in der Klasse Zlib::GzipReader. Ein Buffer Overflow in der internen Funktion zstream_buffer_ungets kann zu Speicherkorruption führen: Die Funktion verschiebt vorhandene Ausgabedaten im Speicher, ohne vorher sicherzustellen, dass der zugrundeliegende Ruby-String ausreichend Kapazität hat. Das Ergebnis ist ein klassischer Heap-basierter Pufferüberlauf – ein Fehlertyp, der in der Vergangenheit häufig zur Codeausführung missbraucht wurde, auch wenn ein konkreter Exploit bisher nicht öffentlich bekannt ist.

Read More

CVE-2026-21510 – Windows Shell umgeht SmartScreen-Schutz

Microsoft hat am 10. Februar 2026 einen Patch für eine aktiv ausgenutzte Sicherheitslücke in der Windows Shell veröffentlicht. Die Schwachstelle mit der Kennung CVE-2026-21510 erhält einen CVSS-Score von 8,8 (Hoch) und betrifft nahezu alle aktuellen Windows-Versionen – von Windows 10 bis Windows 11 sowie Windows Server 2012 bis 2025.

Read More

Kritische Lücke im Apache HTTP Server – mod_proxy_ajp

Im Apache HTTP Server wurde eine Heap-Buffer-Overflow-Schwachstelle im Modul mod_proxy_ajp entdeckt. Ein bösartiger AJP-Backend-Server kann dabei 4 Bytes kontrolliert außerhalb eines Heap-Puffers schreiben – was in der Praxis zur vollständigen Kompromittierung des Servers führen kann: Vertraulichkeit, Integrität und Verfügbarkeit sind alle maximal gefährdet. Der CVSS-Score liegt bei 9.8 von 10. Betroffen sind alle Versionen bis einschließlich 2.4.66. Das Angriffsszenario setzt voraus, dass mod_proxy_ajp aktiv ist und auf einen – auch intern kompromittierten – AJP-Server zeigt, etwa einen Tomcat-Backend-Server.

Read More