Kritische HTTP/2-Lücke in Apache (CVE-2026-23918) erlaubt DoS und mögliche Codeausführung

Zusammenfassung

Die Apache Software Foundation (ASF) hat Sicherheitsupdates für ihren HTTP Server veröffentlicht und schließt damit mehrere Schwachstellen, darunter eine schwerwiegende Lücke, die zu Remote Code Execution (RCE) führen kann. Die als CVE-2026-23918 geführte Schwachstelle erhält einen CVSS-Wert von 8.8 und wird als „double free und mögliche RCE" in der Verarbeitung des HTTP/2-Protokolls beschrieben. Betroffen ist Apache HTTP Server 2.4.66; behoben wurde das Problem in Version 2.4.67. Entdeckt und gemeldet wurde die Lücke von Bartlomiej Dmitruk, Mitgründer von Striga.ai, sowie dem ISEC.pl-Forscher Stanislaw Strzalkowski. Gegenüber The Hacker News stufte Dmitruk die Schwere als kritisch ein, da sich die Schwachstelle sowohl für Denial-of-Service (DoS) als auch für RCE ausnutzen lasse. Der Fehler steckt im Modul mod_http2, konkret im Aufräumpfad für Streams in der Datei h2_mplx.c. Während sich der DoS auf praktisch jeder Standardinstallation auslösen lässt, setzt der Weg zur Codeausführung spezifische Voraussetzungen in der Speicherverwaltung voraus. Angesichts der Tragweite raten die Forscher dazu, die bereitgestellten Updates einzuspielen.

Bei CVE-2026-23918 handelt es sich um einen Double-Free in mod_http2 von Apache httpd 2.4.66. Ausgelöst wird der Fehler, wenn ein Client einen HTTP/2-HEADERS-Frame sendet, unmittelbar gefolgt von einem RST_STREAM mit einem von null verschiedenen Fehlercode auf demselben Stream – und zwar bevor der Multiplexer den Stream registriert hat.

In der Folge werden laut Dmitruk zwei nghttp2-Callbacks nacheinander ausgelöst: on_frame_recv_cb für das RST und on_stream_close_cb für das Schließen. Beide rufen über h2_mplx_c1_client_rst die Funktion m_stream_cleanup auf, wodurch derselbe h2_stream-Zeiger zweimal in das spurge-Array zum Aufräumen geschoben wird. Iteriert c1_purge_streams später über dieses Array und ruft für jeden Eintrag h2_stream_destroy beziehungsweise apr_pool_destroy auf, trifft der zweite Aufruf bereits freigegebenen Speicher.

Den DoS bezeichnet Dmitruk als trivial: Er funktioniert auf jeder Standardinstallation mit mod_http2 und einem mehrfädigen MPM. Eine einzige TCP-Verbindung, zwei Frames, keine Authentifizierung, keine besonderen Header und keine bestimmte URL genügen, um den Worker zum Absturz zu bringen. Apache startet den Prozess zwar neu, doch jede Anfrage auf dem abgestürzten Worker geht verloren, und der Angriff lässt sich beliebig lange aufrechterhalten.

Der Weg zur Remote Code Execution ist anspruchsvoller. Er setzt eine Apache Portable Runtime (APR) mit dem mmap-Allocator voraus, der auf Debian-basierten Systemen und im offiziellen httpd-Docker-Image standardmäßig aktiv ist. Die Forscher entwickelten nach eigenen Angaben einen funktionierenden Proof of Concept auf x86_64: Über die Wiederverwendung von mmap-Speicher platziert die Angriffskette eine gefälschte h2_stream-Struktur an der freigegebenen virtuellen Adresse, lässt deren Pool-Aufräumfunktion auf system() zeigen und nutzt den Scoreboard-Speicher von Apache als stabilen Behälter für die gefälschten Strukturen und die Befehlszeichenkette.

Das Scoreboard liegt über die gesamte Laufzeit des Servers an einer festen Adresse, selbst bei aktiviertem ASLR – genau das macht den RCE-Weg praktikabel. Dmitruk nennt allerdings Einschränkungen: Für system() und die Scoreboard-Offsets ist ein Information Leak nötig, und das Heap-Spraying ist probabilistisch. Unter Laborbedingungen gelinge die Codeausführung dennoch innerhalb von Minuten.

Nicht betroffen ist laut Dmitruk das MPM prefork. Die Angriffsfläche sei jedoch groß, da mod_http2 in Standardbuilds enthalten und HTTP/2 in produktiven Umgebungen weit verbreitet ist.

Kritische HTTP/2-Lücke in Apache (CVE-2026-23918) erlaubt DoS und mögliche Codeausführung

Ähnliche Artikel

Neueste Artikel