Уязвимость в Apache HTTP/2 (CVE-2026-23918)

Введение

В веб-сервере Apache HTTP Server обнаружена критическая уязвимость CVE-2026-23918, связанная с обработкой протокола HTTP/2. Уязвимость получила высокий рейтинг опасности (CVSS 8.8) и может приводить к отказу в обслуживании (DoS), а в определённых конфигурациях к удалённому выполнению кода (RCE).

Что произошло

Уязвимость представляет собой ошибку типа double-free в модуле HTTP/2 (mod_http2) версии Apache HTTP Server 2.4.66.

Ошибка возникает в процессе обработки потоков HTTP/2, когда сервер некорректно освобождает одну и ту же область памяти дважды при обработке последовательности кадров:

• HEADERS
• RST_STREAM

Это приводит к повреждению памяти и последующему краху процесса или возможности эксплуатации.

Возможные последствия:

• аварийное завершение worker-процессов Apache (DoS);
• в некоторых конфигурациях возможность выполнения произвольного кода (RCE).

Уязвимые системы

Проблема затрагивает:

• Apache HTTP Server 2.4.66 и ниже
• системы с включённым mod_http2
• конфигурации с многопоточной обработкой запросов (MPM)
• популярные Linux-дистрибутивы (включая Debian-based)
• официальные Docker-образы Apache

Особо опасные условия для RCE:

• использование APR с mmap-аллокатором (часто включён по умолчанию)

Особенности эксплуатации

Атака не требует аутентификации и может быть выполнена удалённо.

Условно уязвимость может быть вызвана специально сформированным HTTP/2 трафиком, который приводит к повторному освобождению памяти в процессе обработки потоков.

Дополнительно

Исследователи отмечают, что проблема затрагивает широко используемые конфигурации Apache, включая дефолтные сборки и Docker-образы, что увеличивает потенциальную поверхность атаки.