フォローする 
Apacheは、Apache HTTP ServerのHTTP/2処理における致命的な欠陥であるCVE-2026-23918をパッチしました。Apacheはこれを「ダブルフリーおよび可能性のあるRCE」と説明しています。この問題はApache HTTP Server 2.4.66に影響を与え、2.4.67で修正され、2026年5月4日にリリースされました。
CVE-2026-23918の脆弱性は、リモートで悪用でき、認証なしで行えるため、重要です。公の報告によると、このバグはサービス拒否状態を引き起こす可能性があり、特定の条件下ではリモートコード実行への道を開く可能性もあるため、Apacheの最新のセキュリティリリースで対処された最も深刻な問題の一つとされています。
Apacheは、striga.aiのBartlomiej Dmitruk氏とisec.plのStanislaw Strzalkowski氏に欠陥の報告を credited 。Apacheの脆弱性ページでは、2025年12月10日にセキュリティチームに報告され、2025年12月11日にソースで修正され、その後数か月以内に2.4.67リリースでユーザーに提供されたことが示されています。
CVE-2026-23918分析
ApacheとThe Hacker Newsで引用された研究者のコメントによると、このバグはmod_http2のダブルフリーであり、特にストリームクリーンアップパスで発生します。これは、クライアントがHTTP/2ヘッダーフレームを送信し、その後すぐにストリームがマルチプレクサによって完全に登録される前に、非ゼロのエラーコードを伴うRST_STREAMを送信したときにトリガーされます。
このシーケンスは、同じストリームオブジェクトを2回クリーンアップ配列にプッシュするように2つのコールバックを引き起こします。後でApacheがストリームエントリを破壊すると、すでに解放されたメモリが再び解放されます。実際には、CVE-2026-23918の脆弱性はメモリ管理上の欠陥であり、ワーカープロセスをクラッシュさせる可能性があり、適切な環境下でコード実行に形成されることがあります。
サービス拒否パスが最も簡単な結果であるように見えます。研究者はThe Hacker Newsに、1つのTCP接続と2つのHTTP/2フレームが、マルチスレッドMPMを使用するデフォルトのデプロイメントでワーカーをクラッシュさせるのに十分であると伝えました。また、MPMプレフォークは影響を受けないと指摘し、可能なRCEパスは、Debian由来のシステムおよび公式httpd Dockerイメージでデフォルトとされるmmapアロケータを使用するAPR構成に依存します。
攻撃の成熟度に関しては、公の報道によれば、研究者はラボ条件でx86_64用のCVE-2026-23918の動作するポックを作成しました。また、実際の悪用には、情報リークやメモリ再利用の助けなどの条件が必要であるため、コード実行は単純なサービス妨害よりも要求が厳しいと述べています。
現段階では、CVE-2026-23918の公表された詳細は、広範に再現可能なフィールドのRCEよりも、プロセスクラッシュやワーカーの不安定性に明確に焦点を当てています。ベンダーから公開されているCVE-2026-23918のIOCもないため、防御側はバージョン露出、予期しないワークラクラッシュ、そして疑わしいHTTP/2リセットパターンに焦点を合わせるべきです。
CVE-2026-23918 緩和策
核心となる修正は、Apache HTTP Serverを2.4.66から2.4.67にアップグレードすることです。Apacheのセキュリティアドバイザリーは明示的にパッチ適用済みのバージョンへの移行を推奨しており、SecurityWeekはこのリリースが11の脆弱性を修正し、今回の致命的なHTTP/2問題を含むと述べています。
即時トリアージとして、防御者はインターネットに対面するシステムを特定し、その場所でmod_http2が有効になっている場合やスレッドMPMが使用されている場所を特定すべきです。それがCVE-2026-23918の露出を検出するための最も実用的な方法であり、攻撃はHTTP/2リクエストの処理に起因し、データの持ち込まれたマルウェアアーティファクトや従来のポストエクスプロイトビーコンではありません。
緊急のパッチ適用が遅れる場合、HTTP/2トラフィックへの露出を減らすことで、更新が適用されるまで攻撃面を縮小することができます。公に説明されているCVE-2026-23918のペイロードは従来のファイルやバイナリではなく、誤ってクリーンアップパスを強制するようにデザインされたHTTP/2フレームの特別なシーケンスであるため、ネットワークに直面するApacheインスタンスが最優先されるべきです。
リスクの観点から、CVE-2026-23918は、特にHTTP/2がデフォルトで有効化されるか広く展開される性能重視の理由により、Apache HTTP Server 2.4.66をパブリックウェブでの作業負荷に依存する組織に影響を与えます。これは、標準的なLinuxベースのウェブサーバーや公式のApacheイメージを使用しているコンテナ化されたデプロイメントを含みます。
FAQ
CVE-2026-23918とは何か、それはどのように機能しますか?
これは、Apache HTTP ServerのHTTP/2処理における致命的なダブルフリーの欠陥です。特別なタイミングのHTTP/2フレームのシーケンスが、同じストリームオブジェクトをクリーニングに2回プッシュし、ワークラクラッシュや有利な条件のもとでリモートコード実行を可能にする可能性があります。
CVE-2026-23918はいつ最初に発見されましたか?
Apacheの脆弱性ページによると、この問題は2025年12月10日にセキュリティチームに報告されました。修正は2025年12月11日にソースに行われ、修正済みの2.4.67リリースは2026年5月4日に公開されました。
CVE-2026-23918の影響はシステムにどう及びますか?
最も即効性のある影響は、クラッシュしたApacheワーカーによるサービス拒否です。公の報道によれば、この欠陥はリモートコード実行を可能にする可能性があるとされますが、その経路はクラッシュシナリオよりも複雑で環境依存であるようです。
CVE-2026-23918は2026年にも私に影響を与える可能性がありますか?
はい。システムがApache HTTP Server 2.4.66をmod_http2が有効な状態で動かし、未だに2.4.67にアップデートされていない場合、2026年にもリスクがあります。このリスクは、スレッドMPMを使用するデプロイメントで特に関連性があります。
CVE-2026-23918から身を守る方法は何ですか?
できるだけ早くApache HTTP Server 2.4.67にアップグレードし、露出しているHTTP/2を有効にしたデプロイメントを特定し、外部にアクセス可能なサーバーを修正のために優先させます。即座にパッチを適用できない場合、HTTP/2への露出を減らすことで短期的なリスクを下げることができます。
