Suivre 
Apache a corrigé CVE-2026-23918, une faille critique dans la gestion HTTP/2 du serveur HTTP Apache, que Apache décrit comme une « double libération et possible RCE ». Le problème affecte le serveur HTTP Apache 2.4.66 et a été corrigé dans la version 2.4.67, publiée le 4 mai 2026.
La vulnérabilité CVE-2026-23918 est importante car elle peut être exploitée à distance et sans authentification. Les rapports publics indiquent que le bogue peut provoquer une condition de déni de service et, dans certaines conditions, peut également ouvrir la voie à une exécution de code à distance, ce qui en fait l’un des problèmes les plus graves traités dans la dernière mise à jour de sécurité d’Apache.
Apache crédite Bartlomiej Dmitruk de striga.ai et Stanislaw Strzalkowski de isec.pl d’avoir signalé la faille. La page de vulnérabilité d’Apache montre qu’il a été signalé à l’équipe de sécurité le 10 décembre 2025, corrigé dans le code source le 11 décembre 2025, et livré aux utilisateurs dans la version 2.4.67 des mois plus tard.
Analyse de CVE-2026-23918
Selon Apache et les commentaires de chercheurs cités par The Hacker News, le bug est un double-free dans mod_http2, spécifiquement dans le chemin de nettoyage des flux. Il peut être déclenché lorsqu’un client envoie une trame HEADERS HTTP/2 puis envoie immédiatement RST_STREAM avec un code d’erreur non nul avant que le flux ne soit complètement enregistré par le multiplexeur.
Cette séquence peut provoquer l’exécution de deux rappels d’une manière qui pousse deux fois le même objet de flux dans le tableau de nettoyage. Lorsque Apache détruit plus tard les entrées de flux, la mémoire déjà libérée est à nouveau libérée. Concrètement, la vulnérabilité dans CVE-2026-23918 est un défaut de gestion de la mémoire qui peut faire planter les processus de travail et, dans le bon environnement, se transformer en exécution de code.
La voie du déni de service semble être le résultat le plus facile. Les chercheurs ont dit à The Hacker News qu’une connexion TCP et deux trames HTTP/2 suffisent pour faire planter un travailleur dans des déploiements par défaut utilisant mod_http2 avec un MPM multi-threadé. Ils ont également noté que MPM prefork n’est pas affecté, tandis que le possible chemin RCE dépend d’une configuration APR utilisant l’allocation mmap, qui est dit être le défaut sur les systèmes dérivés de Debian et dans l’image Docker officielle httpd.
En ce qui concerne la maturité de l’exploitation, les rapports publics indiquent que les chercheurs ont construit un poc fonctionnel pour CVE-2026-23918 sur x86_64 dans des conditions de laboratoire. Ils ont également déclaré que l’exploitation pratique nécessite encore des conditions favorables telles qu’une fuite d’informations et une réutilisation favorable de la mémoire, donc l’exécution de code est plus exigeante que la simple perturbation de service.
À ce stade, les détails publics pour CVE-2026-23918 pointent beaucoup plus clairement vers des plantages de processus et une instabilité des travailleurs plutôt que vers une RCE largement reproductible sur le terrain. Il n’y a pas non plus de iocs CVE-2026-23918 publiés par le fournisseur, donc les défenseurs devraient se concentrer sur l’exposition de la version, les plantages inattendus des travailleurs et les modèles de réinitialisation HTTP/2 suspects plutôt que sur un ensemble de signatures stable.
Atténuation de CVE-2026-23918
La correction principale est de mettre à niveau le serveur HTTP Apache de 2.4.66 à 2.4.67. L’avis de sécurité d’Apache recommande explicitement de passer à la version corrigée, et SecurityWeek note que la mise à jour corrige 11 vulnérabilités, y compris ce problème critique HTTP/2.
Pour un triage immédiat, les défenseurs devraient identifier les systèmes exposés à l’internet où mod_http2 est activé et où les MPM threadés sont utilisés. C’est le moyen le plus pratique de détecter l’exposition à CVE-2026-23918 car l’attaque repose sur la gestion des requêtes HTTP/2, et non sur un artefact de malware supprimé ou un beacon de post-exploitation traditionnel.
Si la correction d’urgence est retardée, réduire l’exposition au trafic HTTP/2 peut aider à réduire la surface d’attaque jusqu’à ce que les mises à jour soient appliquées. Le payload CVE-2026-23918 décrit publiquement n’est pas un fichier ou un binaire conventionnel mais une séquence de trames HTTP/2 spécialement conçue pour forcer le chemin de nettoyage défectueux, de sorte que les instances d’Apache exposées au réseau devraient être priorisées en premier.
D’un point de vue du risque, CVE-2026-23918 affecte les organisations qui reposent sur Apache HTTP Server 2.4.66 pour les charges de travail web publiques, en particulier là où HTTP/2 est activé par défaut ou largement déployé pour des raisons de performance. Cela inclut les serveurs web basés sur Linux ainsi que les déploiements conteneurisés utilisant l’image Apache officielle.
FAQ
Qu’est-ce que CVE-2026-23918 et comment fonctionne-t-il ?
Il s’agit d’une faille critique de double libération dans la gestion HTTP/2 du serveur HTTP Apache. Une séquence de trames HTTP/2 spécialement chronométrée peut pousser deux fois le même objet de flux dans le nettoyage, entraînant des plantages de travailleurs et potentiellement permettant une exécution de code à distance dans des conditions favorables.
Quand CVE-2026-23918 a-t-il été découvert pour la première fois ?
La page de vulnérabilité d’Apache indique que le problème a été signalé à l’équipe de sécurité le 10 décembre 2025. La correction a été ajoutée dans le code source le 11 décembre 2025 et la version corrigée 2.4.67 a été publiée le 4 mai 2026.
Quel est l’impact de CVE-2026-23918 sur les systèmes ?
L’impact le plus immédiat est le déni de service par l’intermédiaire de travailleurs Apache plantés. Les rapports publics indiquent également que la faille peut permettre l’exécution de code à distance, bien que ce chemin semble plus complexe et dépendant de l’environnement que le scénario de plantage.
CVE-2026-23918 peut-il encore m’affecter en 2026 ?
Oui. Les systèmes peuvent encore être exposés en 2026 s’ils utilisent Apache HTTP Server 2.4.66 avec mod_http2 activé et n’ont pas encore été mis à niveau à 2.4.67. Le risque est particulièrement pertinent pour les déploiements utilisant des MPM threadés.
Comment puis-je me protéger de CVE-2026-23918 ?
Mettez à jour vers Apache HTTP Server 2.4.67 dès que possible, identifiez les déploiements exposés pris en charge par HTTP/2, et priorisez les serveurs accessibles de l’extérieur pour la remédiation. Là où la correction ne peut pas être appliquée immédiatement, réduire l’exposition à HTTP/2 peut aider à réduire le risque à court terme.
