Стежити 
Apache виправив CVE-2026-23918, критичну уразливість у обробці HTTP/2 в Apache HTTP Server, яку Apache описує як «подвійне звільнення та можливе виконання RCE». Проблема стосується Apache HTTP Server 2.4.66 і була виправлена у версії 2.4.67, яка вийшла 4 травня 2026 року.
Уразливість CVE-2026-23918 має важливе значення, оскільки її можна використовувати віддалено і без аутентифікації. Згідно з публічними повідомленнями, баг може спричинити стан відмови у наданні послуг, і за певних умов може також відкрити шлях до віддаленого виконання коду, що робить його одним із найсерйозніших питань, вирішених у останньому випуску безпеки Apache.
Apache висловлює подяку Бартломею Дмитруку з striga.ai та Станіславу Стржалковському з isec.pl за повідомлення про уразливість. Сторінка уразливості Apache показує, що вона була повідомлена команді безпеки 10 грудня 2025 року, виправлена у джерелі 11 грудня 2025 року та доставлена користувачам у релізі 2.4.67 через кілька місяців.
Аналіз CVE-2026-23918
За даними Apache і коментарями дослідників, цитованих у The Hacker News, баг є подвійним звільненням у mod_http2, зокрема, у шляху очищення потоку. Він може бути викликаний, коли клієнт надсилає кадр HTTP/2 HEADERS, а потім негайно надсилає RST_STREAM з ненульовим кодом помилки, перш ніж потік повністю зареєструється мультиплексором.
Ця послідовність може викликати запуск двох зворотних викликів таким чином, що один і той самий об’єкт потоку двічі заноситься в масив очищення. Коли Apache пізніше знищує записи потоку, пам’ять, яка вже була звільнена, звільняється знову. У практичному сенсі, уразливість у CVE-2026-23918 є помилкою управління пам’яттю, яка може призводити до аварійного завершення процесів робітника і, у відповідному середовищі, бути перетвореною у виконання коду.
Шлях відмови у наданні послуг, здається, є найпростішим результатом. Дослідники повідомили The Hacker News, що одне TCP-з’єднання і два кадри HTTP/2 достатньо, щоб викликати аварію робітника у стандартних розгортаннях, що використовують mod_http2 з багатопотоковим MPM. Вони також відзначили, що MPM prefork не піддається впливу, тоді як можливий шлях RCE залежить від конфігурації APR з використанням mmap allocator, який є за замовчуванням на системах, похідних від Debian, і в офіційному образі Docker httpd.
Щодо зрілості експлуатації, згідно з публічними звітами, дослідники розробили робочий прототип CVE-2026-23918 для x86_64 в лабораторних умовах. Вони також зазначили, що для практичної експлуатації все ще потрібні сприятливі умови, такі як витік інформації та сприятливе повторне використання пам’яті, тому виконання коду є складнішим, ніж просте порушення роботи сервісу.
На цьому етапі публічні деталі для CVE-2026-23918 набагато чіткіше вказують на аварійні завершення процесів та нестабільність робітників, ніж на широко відтворюваний RCE у польових умовах. Більш того, немає опублікованих виробником ознак компрометації CVE-2026-23918, тому захисники повинні зосередитися на вразливих версіях, несподіваних аварійних завершеннях робітників та підозрілих схемах скидання HTTP/2, а не на стабільному наборі сигнатур.
Пом’якшення CVE-2026-23918
Основне виправлення полягає в оновленні Apache HTTP Server з версії 2.4.66 до 2.4.67. Радник з безпеки Apache спеціально рекомендує переходити на виправлену версію, а SecurityWeek зазначає, що випуск виправляє 11 вразливостей, включно з цією критичною проблемою HTTP/2.
Для негайного триажу захисники повинні ідентифікувати системи, звернені до Інтернету, де увімкнено mod_http2 і де використовуються багатопотокові MPM. Це найпрактичніший спосіб виявити вразливість до CVE-2026-23918, оскільки атака залежить від обробки запитів HTTP/2, а не від зламаного артефакту або традиційного маяка постексплуатації.
Якщо термінове виправлення затримується, зменшення впливу трафіку HTTP/2 може допомогти зменшити поверхню атаки, поки не буде застосовано оновлення. Завантажений CVE-2026-23918 не є звичайним файлом або двійковим кодом, а спеціально розробленою послідовністю кадрів HTTP/2, що призначена для примушення неправильної шляху очищення, тому мережеві екземпляри Apache слід розташовувати в пріоритеті.
З точки зору ризику, CVE-2026-23918 впливає на організації, які залежать від Apache HTTP Server 2.4.66 для публічних веб-навантажень, особливо там, де HTTP/2 увімкнено за замовчуванням або широко розгорнуто для підвищення продуктивності. Це включає стандартні сервери на основі Linux, а також контейнеризовані розгортання з використанням офіційного образу Apache.
FAQ
Що таке CVE-2026-23918 і як вона працює?
Це критична уразливість подвійного звільнення в обробці HTTP/2 Apache HTTP Server. Спеціально вчасна послідовність кадрів HTTP/2 може вносити один і той самий об’єкт потоку в очищення двічі, що веде до аварійного завершення роботи робітників і потенційно дозволяє віддалене виконання коду за сприятливих умов.
Коли вперше було виявлено CVE-2026-23918?
Сторінка з уразливостями Apache повідомляє, що проблема була повідомлена команді безпеки 10 грудня 2025 року. Виправлення було додане у джерело 11 грудня 2025 року, а виправлену версію 2.4.67 опубліковано 4 травня 2026 року.
Який вплив CVE-2026-23918 на системи?
Найбезпосередніший вплив – це відмова у наданні послуг через аварійні завершення робітників Apache. Публічні звіти також зазначають, що уразливість може дозволити віддалене виконання коду, хоча цей шлях видається більш складним і залежним від навколишнього середовища, ніж сценарій аварійного завершення.
Чи може CVE-2026-23918 ще вплинути на мене у 2026 році?
Так. Системи можуть все ще бути вразливими у 2026 році, якщо вони використовують Apache HTTP Server 2.4.66 з увімкненим mod_http2 і ще не були оновлені до версії 2.4.67. Ризик особливо актуальний для розгортань з використанням багатопотокових MPM.
Як я можу захистити себе від CVE-2026-23918?
Оновіть Apache HTTP Server до версії 2.4.67 якомога швидше, ідентифікуйте розгорнуті з підтримкою HTTP/2 системи і пріоритизуйте зовні доступні сервери для усунення вразливостей. Там, де виправлення не можуть бути застосовані негайно, зменшення впливу HTTP/2 може допомогти знизити короткострокові ризики.
