Das Apache HTTP Server Update 2.4.67 behebt insgesamt elf Schwachstellen, von denen zehn alle bisherigen Versionen gefährden. Die kritischste Lücke trägt die Bezeichnung CVE-2026-23918 – ein Double-Free-Fehler im HTTP/2-Protokoll-Handling. Durch gezieltes Auslösen eines Early Reset könnte ein Angreifer sowohl eine Denial-of-Service-Bedingung (DoS) herbeiführen als auch beliebigen Code ausführen.
Ebenso besorgniserregend ist CVE-2026-28780, ein Heap-Buffer-Overflow in der AJP-Nachrichtenverarbeitung. Auch hier können Angreifer remote Code ausführen oder DoS-Zustände provozieren.
Zusätzlich patcht Apache drei weitere Schwachstellen (CVE-2026-29168, CVE-2026-29169, CVE-2026-33007), die DoS-Attacken ermöglichen, sowie vier weitere Lücken (CVE-2026-24072, CVE-2026-33857, CVE-2026-34032, CVE-2026-34059), die Informationspreisgabe begünstigen. Besondere Aufmerksamkeit verdient auch CVE-2026-33523, eine Schwäche bei der CRLF-Sequenzneutralisierung, die Angreifern erlaubt, HTTP-Responses zu manipulieren. Hinzu kommt CVE-2026-33006, eine Timing-Seitenkanal-Schwäche, die zur Umgehung der Digest-Authentifizierung führen kann.
Parallel dazu veröffentlichte Apache die Versionen MINA 2.2.7 und MINA 2.1.12 mit Fixes für zwei kritische Schwachstellen. CVE-2026-42778 ist eine unvollständige Behebung von CVE-2026-41409, welche wiederum CVE-2024-52046 unzureichend adressiert – eine unsichere Deserialisierung, die RCE ermöglicht. CVE-2026-42779 betrifft ein fehlerhaftes Kontrollverfahren mit Allowlist-Umgehung und Code-Execution-Potenzial.
Apache empfiehlt Organisationen dringend, nach dem Update explizit die akzeptierten Klassen in der ObjectSerializationDecoder-Instanz freizugeben. Deutsche Systemadministratoren sollten Patches unverzüglich einspielen und ihre Systeme auf unerlaubte Zugriffe prüfen. Besitzer von kritischen Infrastrukturen unterliegen zusätzlich strengeren Compliance-Anforderungen und sollten das BSI informieren, falls Kompromittierungen vorliegen.