Apache schließt kritische Lücken in HTTP Server und MINA

Zusammenfassung

Die Apache Software Foundation hat am Montag Patches für mehr als ein Dutzend Schwachstellen in HTTP Server und MINA veröffentlicht. Darunter befinden sich Lücken mit kritischem und hohem Schweregrad, die sich für die Ausführung von Schadcode aus der Ferne (Remote Code Execution, RCE) ausnutzen lassen. Für den HTTP Server erschien die Version 2.4.67 mit Korrekturen für insgesamt elf Schwachstellen, von denen zehn alle früheren Versionen betreffen. Bei MINA wurden mit den Versionen 2.2.7 und 2.1.12 zwei als kritisch eingestufte Schwachstellen beseitigt, die laut Apache bereits in früheren Releases hätten behoben werden müssen. Die schwerwiegendsten der Schwachstellen könnten es entfernten Angreifern erlauben, beliebigen Code auszuführen. Die Bandbreite der gemeldeten Probleme reicht von Denial-of-Service-Zuständen über das Offenlegen von Informationen bis hin zur Manipulation von HTTP-Antworten und der Umgehung von Authentifizierungsmechanismen. Administratoren betroffener Systeme sollten die bereitgestellten Aktualisierungen einspielen, da ein Großteil der Lücken sämtliche vorherigen Versionsstände betrifft.

Im Apache HTTP Server 2.4.67 stechen zwei Schwachstellen besonders hervor. CVE-2026-23918 ist ein Double-Free-Fehler in der Verarbeitung des HTTP/2-Protokolls, der zugleich Remote Code Execution ermöglichen kann. Durch das Auslösen eines vorzeitigen Resets (Early Reset) könnte ein Angreifer einen Denial-of-Service-Zustand herbeiführen und unter Umständen beliebigen Code ausführen.

Ähnlich gravierend ist CVE-2026-28780, ein Heap-Buffer-Overflow. Über manipulierte AJP-Nachrichten könnten entfernte Angreifer einen Denial of Service auslösen und Code zur Ausführung bringen.

Drei weitere Schwachstellen – CVE-2026-29168, CVE-2026-29169 und CVE-2026-33007 – können zu Denial-of-Service-Zuständen führen. Vier Lücken, namentlich CVE-2026-24072, CVE-2026-33857, CVE-2026-34032 und CVE-2026-34059, können das Offenlegen von Informationen zur Folge haben.

Hinzu kommt CVE-2026-33523, eine unzureichende Neutralisierung von CRLF-Sequenzen, die Angreifern die Manipulation von HTTP-Antworten erlaubt. Eine Timing-Seitenkanalschwäche (CVE-2026-33006) kann zudem zur Umgehung der Digest-Authentifizierung führen.

Parallel dazu kündigte Apache die Auslieferung von MINA 2.2.7 und MINA 2.1.12 an, die zwei als kritisch eingestufte Schwachstellen beseitigen. Beide sind unvollständige Korrekturen früherer Fixes: CVE-2026-42778 wird als unvollständige Behebung von CVE-2026-41409 beschrieben, die wiederum eine unvollständige Korrektur von CVE-2024-52046 war – einer unsicheren Deserialisierung von Daten, die sich für RCE ausnutzen ließ.

Die zweite MINA-Lücke, CVE-2026-42779, ist eine unvollständige Behebung von CVE-2026-41635, einem Prüffehler, der zur Umgehung einer Positivliste (Allowlist) und damit zur Codeausführung führte.

Nach dem Wechsel auf eine gepatchte Version müssen Organisationen laut Apache zusätzlich aktiv werden: Sie müssen in der Instanz des ObjectSerializationDecoder ausdrücklich festlegen, welche Klassen der Decoder akzeptieren darf.

Apache schließt kritische Lücken in HTTP Server und MINA

Ähnliche Artikel

Neueste Artikel