팔로우 
Apache는 Apache HTTP 서버의 HTTP/2 처리에서 “이중 해제 및 가능한 원격 코드 실행(RCE)”로 설명되는 심각한 결함인 CVE-2026-23918을 패치했습니다. 이 문제는 Apache HTTP 서버 2.4.66에 영향을 미치며 2.4.67에서 수정되어 2026년 5월 4일에 출시되었습니다.
CVE-2026-23918 취약점은 원격으로 인증 없이 악용될 수 있기 때문에 중요합니다. 공개된 보고에 따르면 이 버그는 서비스 거부 상태를 유발할 수 있으며, 특정 조건에서는 원격 코드 실행의 경로를 열 수도 있어 Apache의 최신 보안 릴리스에서 해결된 가장 심각한 문제 중 하나가 됩니다.
Apache는 striga.ai의 Bartlomiej Dmitruk과 isec.pl의 Stanislaw Strzalkowski에게 이 결함을 보고한 공로를 인정했습니다. Apache의 자체 취약점 페이지에 따르면 이 문제는 2025년 12월 10일 보안 팀에 보고되었으며, 2025년 12월 11일 소스에서 수정된 후, 몇 달 후 사용자에게 2.4.67 릴리스로 제공되었습니다.
CVE-2026-23918 분석
The Hacker News가 인용한 Apache 및 연구자 해설에 따르면, 이 버그는 mod_http2의 이중 해제이며 특히 스트림 정리 경로에서 발생합니다. 클라이언트가 HTTP/2 HEADERS 프레임을 보낸 후 스트림이 멀티플렉서에 완전히 등록되기 전에 비영의 오류 코드로 RST_STREAM을 즉시 보낼 때 발생할 수 있습니다.
그 시퀀스는 동일한 스트림 객체를 두 번 정리 배열에 밀어넣어 두 콜백이 실행되도록 할 수 있습니다. Apache가 나중에 스트림 항목을 파괴할 때 이미 해제된 메모리가 다시 해제됩니다. 실제로 CVE-2026-23918의 취약점은 메모리 관리 결함으로, 작업자 프로세스를 충돌시킬 수 있으며, 올바른 환경에서는 코드 실행으로 변형될 수 있습니다.
서비스 거부 경로는 가장 쉬운 결과로 보입니다. The Hacker News에 따르면 연구원들은 하나의 TCP 연결과 두 개의 HTTP/2 프레임 만으로 다중 스레드 MPM을 사용하는 기본 배포에서 작업자를 충돌시킬 수 있다고 밝혔습니다. 그들은 또한 MPM prefork는 영향을 받지 않으며, 가능한 RCE 경로는 mmap 할당자를 사용하는 APR 구성에 달리며, 이는 Debian 파생 시스템과 공식 httpd Docker 이미지에서 기본값이라고 합니다.
악용 성숙도에 관한 한, 공개 보고서에 따르면 연구원들은 실험실 조건에서 x86_64용으로 작동하는 CVE-2026-23918 포크를 빌드했다고 합니다. 그들은 또한 실제 악용은 여전히 정보 누출과 유리한 메모리 재사용 같은 유리한 조건이 필요하므로, 코드 실행은 단순한 서비스 중단보다 더 까다롭다고 말했습니다.
현재 단계에서 공개된 CVE-2026-23918의 세부 사항은 현장에 널리 재현 가능한 RCE보다는 프로세스 충돌 및 작업자 불안정성에 더 명확하게 초점을 맞추고 있습니다. 벤더가 발표한 CVE-2026-23918 IOC도 없으므로 방어자는 안정된 서명 세트에 집중하기보다는 버전 노출, 예상되지 않은 작업자 충돌 및 의심스러운 HTTP/2 리셋 패턴에 집중해야 합니다.
CVE-2026-23918 완화
핵심 수정사항은 Apache HTTP 서버를 2.4.66에서 2.4.67로 업그레이드하는 것입니다. Apache의 보안 권고는 패치된 버전으로 이동할 것을 명시적으로 권장하며, SecurityWeek는 이 릴리스가 이 심각한 HTTP/2 문제를 포함한 11가지 취약점을 수정한다고 언급합니다.
즉각적인 분류를 위해 방어자는 mod_http2가 활성화되고 스레드 MPM이 사용되는 인터넷에 접속 가능한 시스템을 식별해야 합니다. 이는 HTTP/2 요청 처리가 공격의 핵심이므로 CVE-2026-23918 노출을 감지하는 가장 실용적인 방법입니다. 제거된 악성 코드 아티팩트나 전통적인 사후 착취 신호에 의존하지 않습니다.
긴급 패치가 지연될 경우, HTTP/2 트래픽에 대한 노출을 줄이는 것이 업데이트가 적용될 때까지 공격 표면을 줄이는 데 도움이 될 수 있습니다. 공개적으로 설명된 CVE-2026-23918 페이로드는 전통적인 파일이나 바이너리가 아니라 결함 있는 정리 경로를 강제로 실행하도록 설계된 HTTP/2 프레임의 정교한 시퀀스입니다. 따라서 네트워크 접속이 가능한 Apache 인스턴스가 우선적으로 패치되어야 합니다.
위험 관점에서 CVE-2026-23918은 특히 성능상의 이유로 HTTP/2가 기본적으로 활성화되거나 널리 배포되어 있는 경우, 공개 웹 작업에 대해 Apache HTTP 서버 2.4.66을 채택한 조직에 영향을 미칩니다. 여기에는 표준 리눅스 기반 웹 서버뿐만 아니라 공식 Apache 이미지를 사용하는 컨테이너 배포도 포함됩니다.
FAQ
CVE-2026-23918은 무엇이며 어떻게 작동합니까?
이는 Apache HTTP 서버의 HTTP/2 처리에서 발생하는 심각한 이중 해제 결함입니다. 특별히 조정된 HTTP/2 프레임 시퀀스가 동일한 스트림 객체를 두 번 정리하고, 작업자 충돌을 일으키며, 유리한 조건에서 원격 코드 실행을 가능하게 할 수 있습니다.
CVE-2026-23918은 처음 언제 발견되었습니까?
Apache의 취약점 페이지에 따르면 이 문제는 2025년 12월 10일 보안 팀에 보고되었습니다. 수정 사항은 2025년 12월 11일 소스에 적용되었으며, 패치된 2.4.67 릴리스는 2026년 5월 4일에 발표되었습니다.
CVE-2026-23918이 시스템에 미치는 영향은 무엇입니까?
가장 즉각적인 영향은 Apache 작업자 충돌을 통한 서비스 거부입니다. 공공 보고에서도 이 결함이 원격 코드 실행을 허용할 수 있다고 하지만, 그 경로는 충돌 시나리오보다 더 복잡하고 환경에 의존적으로 보입니다.
2026년에도 CVE-2026-23918이 여전히 저에게 영향을 미칠 수 있습니까?
네. Apache HTTP 서버 2.4.66을 mod_http2가 활성화된 상태로 운영하고 있으며 2.4.67로 아직 업데이트되지 않았을 경우 2026년에도 여전히 노출될 수 있습니다. 특히 스레드 MPM을 사용하는 배포에 이 위험이 특히 중요합니다.
CVE-2026-23918로부터 자신을 보호하려면 어떻게 해야 하나요?
Apache HTTP 서버를 가능한 한 빨리 2.4.67로 업그레이드하고, 노출된 HTTP/2 활성화 배포를 식별하며, 외부에서 접근 가능한 서버를 우선적으로 개선하십시오. 패치가 즉시 이루어질 수 없는 경우, HTTP/2에 대한 노출을 줄여 단기적인 위험을 낮출 수 있습니다.
