Schwere Sicherheitslücke im Apache Webserver ermöglicht Systemabsturz und Codeausführung

Die Apache Software Foundation hat ein Update für ihren weit verbreiteten HTTP Server veröffentlicht, das eine kritische Schwachstelle schließt. CVE-2026-23918 (CVSS 8.8) betrifft ausschließlich Apache HTTP Server 2.4.66 mit aktiviertem HTTP/2-Modul (mod_http2). Ein Angreifer kann mit nur zwei Netzwerkpaketen, ohne Authentifizierung, den Serverprozess zum Absturz bringen (Denial of Service). Unter bestimmten Systemkonfigurationen – konkret wenn der APR-mmap-Allocator aktiv ist, was auf Debian, Ubuntu und im offiziellen Docker-Image standardmäßig der Fall ist – ist sogar die Ausführung von beliebigem Code nachweislich möglich. Forscher haben einen funktionierenden Exploit demonstriert. Der klassische prefork-Modus ist nicht betroffen; wer jedoch worker oder event als MPM einsetzt, ist verwundbar.

Empfehlung: Sofort auf Version 2.4.67 aktualisieren. Wer nicht sofort patchen kann, sollte HTTP/2 vorübergehend deaktivieren: „Protocols http/1.1" in der Apache-Konfiguration genügt als temporärer Schutz.

Ob du betroffen bist, lässt sich schnell prüfen: httpd -v bzw. apache2 -v zeigt die installierte Version. Mit apache2ctl -M | grep http2 prüfst du, ob mod_http2 geladen ist. Wer ausschließlich nginx, Caddy oder andere Webserver einsetzt, ist von dieser Lücke nicht betroffen. Cloud-Dienste wie Cloudflare oder AWS CloudFront als vorgelagerte Proxy-Schicht ändern nichts an der Verwundbarkeit des dahinterliegenden Apache-Servers.

Quelle: https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html

Related Posts

Kritische Schwachstellen in NetScaler ADC und Gateway – sofortiges Update erforderlich

Citrix hat am 23. März 2026 ein Sicherheitsbulletin zu zwei Schwachstellen in NetScaler ADC und NetScaler Gateway veröffentlicht. Beide betreffen ausschliesslich selbst betriebene Installationen – wer die Cloud-verwalteten Dienste von Citrix nutzt, ist nicht betroffen.

Read More

Buffer-Overflow in Ruby-Gem Zlib – Update erforderlich

In der Ruby-Standardbibliothek wurde eine Sicherheitslücke (CVE-2026-27820) im Zlib-Gem entdeckt, konkret in der Klasse Zlib::GzipReader. Ein Buffer Overflow in der internen Funktion zstream_buffer_ungets kann zu Speicherkorruption führen: Die Funktion verschiebt vorhandene Ausgabedaten im Speicher, ohne vorher sicherzustellen, dass der zugrundeliegende Ruby-String ausreichend Kapazität hat. Das Ergebnis ist ein klassischer Heap-basierter Pufferüberlauf – ein Fehlertyp, der in der Vergangenheit häufig zur Codeausführung missbraucht wurde, auch wenn ein konkreter Exploit bisher nicht öffentlich bekannt ist.

Read More

CVE-2026-30893 – Kritische Lücke in Wazuh erlaubt Codeausführung über Cluster-Sync

Wer Wazuh als SIEM- oder Monitoring-Plattform im Cluster-Betrieb einsetzt, sollte umgehend handeln. In der Funktion decompress_files() werden Dateipfade aus empfangenen Sync-Archiven ungefiltert an os.path.join() übergeben – ein klassischer Path-Traversal-Fehler. Ein authentifizierter Cluster-Peer kann dadurch Dateien an beliebige Stellen im Dateisystem schreiben, etwa Python-Module überschreiben, die Wazuh selbst lädt, und so Code im Kontext des Wazuh-Dienstes ausführen. In Docker-Umgebungen, wo der Daemon häufig als root läuft, ist eine vollständige Systemkompromittierung möglich – inklusive Cron-Jobs, SSH-Keys und mehr. Ein funktionierender Proof-of-Concept ist öffentlich verfügbar, was die Dringlichkeit weiter erhöht.

Read More