Im Apache HTTP Server wurde eine Heap-Buffer-Overflow-Schwachstelle im Modul mod_proxy_ajp entdeckt. Ein bösartiger AJP-Backend-Server kann dabei 4 Bytes kontrolliert außerhalb eines Heap-Puffers schreiben – was in der Praxis zur vollständigen Kompromittierung des Servers führen kann: Vertraulichkeit, Integrität und Verfügbarkeit sind alle maximal gefährdet. Der CVSS-Score liegt bei 9.8 von 10. Betroffen sind alle Versionen bis einschließlich 2.4.66. Das Angriffsszenario setzt voraus, dass mod_proxy_ajp aktiv ist und auf einen – auch intern kompromittierten – AJP-Server zeigt, etwa einen Tomcat-Backend-Server.
Bin ich betroffen? Prüfe zunächst, ob das Modul überhaupt geladen wird. Auf Linux-Systemen genügt apache2ctl -M | grep proxy_ajp oder ein Blick in die Konfigurationsdateien auf ProxyPass ajp://-Einträge. Wer kein AJP-Proxying betreibt – also keinen Java-Appserver wie Tomcat über AJP anbindet – ist von dieser konkreten Lücke in der Praxis nicht erreichbar.
Empfehlung: Update auf Apache HTTP Server 2.4.67, das den Fehler behebt. Wer nicht sofort patchen kann, sollte mod_proxy_ajp deaktivieren und sicherstellen, dass AJP-Ports (Standard: 8009) nicht aus unsicheren Netzen erreichbar sind. Managed-Hosting-Kunden sollten ihren Anbieter auf den Patchstand ansprechen.
Quellen: EUVD-2026-27506 · CVE-2026-28780 · NCSC-2026-0134
