Zum Inhalt springen
Cybersecurity News

Kritische Apache-Schwachstelle in HTTP/2: CVE-2026-23918 kann DoS und möglicherweise RCE ermöglichen

Kritische Apache-Schwachstelle in HTTP/2: CVE-2026-23918 kann DoS und möglicherweise RCE ermöglichen

Kritische Apache-Schwachstelle in HTTP/2: CVE-2026-23918 kann DoS und möglicherweise RCE ermöglichen

Die Apache Software Foundation hat ein wichtiges Sicherheitsupdate für den Apache HTTP Server veröffentlicht. Im Mittelpunkt steht die Schwachstelle CVE-2026-23918, die Apache HTTP Server 2.4.66 betrifft und mit Version 2.4.67 behoben wurde. Die Lücke befindet sich in der HTTP/2-Verarbeitung und wird als Double-Free-Schwachstelle mit möglicher Remote Code Execution beschrieben.

Was ist passiert?

Bei CVE-2026-23918 handelt es sich um einen Speicherverwaltungsfehler im Apache-Modul mod_http2. Konkret geht es um einen sogenannten Double Free. Dabei wird derselbe Speicherbereich versehentlich zweimal freigegeben. Solche Fehler können im besten Fall zum Absturz eines Prozesses führen. Im schlimmsten Fall lassen sie sich unter bestimmten Bedingungen ausnutzen, um eigenen Code auf dem betroffenen System auszuführen.

Laut den veröffentlichten Informationen betrifft die Schwachstelle Apache HTTP Server 2.4.66. Administratoren wird empfohlen, auf Apache HTTP Server 2.4.67 zu aktualisieren.

Warum ist die Schwachstelle gefährlich?

Das Risiko liegt vor allem darin, dass die Lücke über HTTP/2 ausgenutzt werden kann. Ein Angreifer muss sich dafür nicht zwingend am Server anmelden. Bereits speziell präparierte HTTP/2-Anfragen können ausreichen, um den betroffenen Prozess zum Absturz zu bringen.

Damit ist mindestens ein Denial-of-Service-Angriff möglich. Der Webserver oder einzelne Worker-Prozesse können abstürzen, wodurch aktive Verbindungen unterbrochen werden. Besonders kritisch ist das für produktive Webserver, Hosting-Plattformen, APIs und Dienste mit hoher Verfügbarkeit.

Noch schwerwiegender ist die mögliche Remote Code Execution. Dabei könnte ein Angreifer unter bestimmten technischen Voraussetzungen eigenen Code auf dem Server ausführen. Das ist nicht bei jeder Umgebung automatisch trivial, aber die Einstufung zeigt klar: Diese Schwachstelle sollte nicht ignoriert werden.

Wer ist betroffen?

Betroffen ist nach aktuellem Stand:

Apache HTTP Server 2.4.66 mit aktivierter HTTP/2-Unterstützung

Besonders relevant ist das für Systeme, auf denen mod_http2 aktiv ist und Apache mit einem mehrprozess- oder multithreadfähigen MPM betrieben wird. Laut den bekannten technischen Details soll der klassische prefork-MPM nicht in gleicher Weise betroffen sein. Trotzdem sollten Betreiber nicht versuchen, die Lücke durch Annahmen über die eigene Konfiguration kleinzureden.

Wenn Apache 2.4.66 eingesetzt wird, sollte das System als potenziell betroffen betrachtet werden, bis das Gegenteil sauber geprüft wurde.

Was sollten Administratoren jetzt tun?

Die wichtigste Maßnahme ist eindeutig:

Apache HTTP Server auf Version 2.4.67 oder neuer aktualisieren.

Zusätzlich sollten Betreiber prüfen:

  • Läuft Apache HTTP Server 2.4.66?
  • Ist HTTP/2 aktiviert?
  • Wird mod_http2 geladen?
  • Welche MPM-Konfiguration ist aktiv?
  • Gibt es ungewöhnliche Abstürze oder Neustarts von Apache-Prozessen?
  • Wurden Webserver-Logs auf verdächtige HTTP/2-Anfragen geprüft?

Bei öffentlich erreichbaren Servern sollte das Update priorisiert behandelt werden. Das gilt besonders für Systeme mit Kundenportalen, Login-Bereichen, APIs, E-Commerce-Plattformen oder Hosting-Umgebungen.

Temporäre Schutzmaßnahmen

Ein Update ist die sauberste Lösung. Wenn ein sofortiges Update nicht möglich ist, kann als kurzfristige Maßnahme geprüft werden, ob HTTP/2 vorübergehend deaktiviert werden kann. Das ist allerdings nur ein Workaround und kein Ersatz für das Sicherheitsupdate.

Je nach Umgebung kann das Deaktivieren von HTTP/2 Auswirkungen auf Performance, Clients und Reverse-Proxies haben. Deshalb sollte diese Maßnahme kontrolliert getestet werden.

Fazit

CVE-2026-23918 ist keine harmlose Randnotiz. Die Schwachstelle betrifft eine weit verbreitete Server-Komponente und kann mindestens zu Denial-of-Service führen. Unter bestimmten Bedingungen ist sogar Remote Code Execution möglich.

Für Betreiber von Apache-Webservern ist die Lage klar: Version prüfen, HTTP/2-Konfiguration kontrollieren und schnellstmöglich auf Apache HTTP Server 2.4.67 aktualisieren.

Wer Apache 2.4.66 produktiv mit HTTP/2 betreibt, sollte diese Schwachstelle als dringend einstufen.

Zurück zur Übersicht