Die Apache Software Foundation hat ein Update für ihren weit verbreiteten HTTP Server veröffentlicht, das eine kritische Schwachstelle schließt. CVE-2026-23918 (CVSS 8.8) betrifft ausschließlich Apache HTTP Server 2.4.66 mit aktiviertem HTTP/2-Modul (mod_http2). Ein Angreifer kann mit nur zwei Netzwerkpaketen, ohne Authentifizierung, den Serverprozess zum Absturz bringen (Denial of Service). Unter bestimmten Systemkonfigurationen – konkret wenn der APR-mmap-Allocator aktiv ist, was auf Debian, Ubuntu und im offiziellen Docker-Image standardmäßig der Fall ist – ist sogar die Ausführung von beliebigem Code nachweislich möglich. Forscher haben einen funktionierenden Exploit demonstriert. Der klassische prefork-Modus ist nicht betroffen; wer jedoch worker oder event als MPM einsetzt, ist verwundbar.
Empfehlung: Sofort auf Version 2.4.67 aktualisieren. Wer nicht sofort patchen kann, sollte HTTP/2 vorübergehend deaktivieren: „Protocols http/1.1″ in der Apache-Konfiguration genügt als temporärer Schutz.
Ob du betroffen bist, lässt sich schnell prüfen: httpd -v bzw. apache2 -v zeigt die installierte Version. Mit apache2ctl -M | grep http2 prüfst du, ob mod_http2 geladen ist. Wer ausschließlich nginx, Caddy oder andere Webserver einsetzt, ist von dieser Lücke nicht betroffen. Cloud-Dienste wie Cloudflare oder AWS CloudFront als vorgelagerte Proxy-Schicht ändern nichts an der Verwundbarkeit des dahinterliegenden Apache-Servers.
Quelle: https://thehackernews.com/2026/05/critical-apache-http2-flaw-cve-2026.html
