Apache zakrpio HTTP/2 ranjivost koja može dovesti do DoS-a i potencijalnog RCE-a
Apache Software Foundation je objavio Apache HTTP Server 2.4.67, kojim je ispravljeno više ranjivosti, uključujući ozbiljan propust CVE-2026-23918 u HTTP/2 obradi. Ranjivost pogađa Apache HTTP Server 2.4.66 i nalazi se u mod_http2 komponenti, gde posebno konstruisana sekvenca HTTP/2 HEADERS i RST_STREAM frame-ova može izazvati double-free stanje u cleanup putanji stream-a. Prema istraživačima koji su prijavili propust, DoS je jednostavan za izvođenje na podrazumevanim deployment-ima sa mod_http2 i multi-threaded MPM-om, dok je RCE moguć u određenim uslovima, posebno kada Apache Portable Runtime koristi mmap allocator, što je podrazumevano na Debian-derived sistemima i zvaničnom httpd Docker image-u. MPM prefork nije pogođen.
Apache HTTP Server ostaje jedna od osnovnih komponenti javne web infrastrukture, pa propust u HTTP/2 obradi ima široku površinu napada. Za DoS napadaču je dovoljan mali broj posebno pripremljenih frame-ova, bez autentifikacije i bez specifičnog URL-a, dok potencijalni RCE scenario zavisi od konkretne memorijske i deployment konfiguracije servera.
- Ažurirati Apache HTTP Server na verziju 2.4.67 ili noviju
- Prioritetno proveriti servere koji koriste Apache 2.4.66, mod_http2 i multi-threaded MPM konfiguraciju
- Ako hitno ažuriranje nije moguće, razmotriti privremeno isključivanje HTTP/2 podrške tamo gde poslovni uticaj to dozvoljava
- Pregledati Apache error logove i monitoring za neuobičajene padove worker procesa i ponavljane HTTP/2 konekcije
- Posebno proveriti Debian-derived sisteme i zvanične httpd Docker image deployment-e zbog uslova koji mogu olakšati RCE putanju