Wann haben Sie zuletzt Ihren Apache-Webserver aktualisiert? Für alle, die Apache HTTP Server 2.4.66 im Einsatz haben, ist die Antwort auf diese Frage jetzt dringend. Die Schwachstelle CVE-2026-23918 erlaubt unter Umständen vollständige Remote-Codeausführung.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- CVE-2026-23918 betrifft Apache HTTP Server 2.4.66 im HTTP/2-Modul
- CVSS-Score: 8.8 (hoch) – ermöglicht Denial-of-Service und potenziell Remote Code Execution
- Angriffsvektor: Ein Client sendet einen HTTP/2-HEADERS-Frame gefolgt von sofortigem RST_STREAM mit Fehlercode
- Behoben in Apache HTTP Server 2.4.67 – Update ist sofort empfohlen
Wie der Angriff technisch funktioniert
Der Fehler liegt in der Stream-Cleanup-Routine des HTTP/2-Multiplexers. Sendet ein Angreifer gezielt einen HTTP/2-HEADERS-Frame, gefolgt von einem RST_STREAM mit Nicht-Null-Fehlercode, bevor der Multiplexer den Stream registriert hat, kommt es zu einem sogenannten Double-Free-Fehler im Speicher. Das Ergebnis ist zunächst ein Absturz (DoS), unter günstigen Bedingungen für den Angreifer aber auch die Ausführung eigenen Codes auf dem Server.
Entdeckt wurde die Lücke von Bartlomiej Dmitruk (Striga.ai) und Stanislaw Strzalkowski (ISEC.pl). Beide bestätigten, dass die Kritikalität erheblich ist. HTTP/2 ist auf modernen Webservern Standard – die Angriffsfläche ist entsprechend groß. Einen Überblick über aktuelle Schwachstellen und Patch-Management bietet der Hosting-Vergleich auf Dr. Web, in dem Sicherheitsfunktionen der Anbieter bewertet werden.
CVE-2026-23918 ist ein Klassiker: einfach auszulösen, schwer zu entdecken und mit einem Update in Minuten zu schließen. Wer nach diesem Artikel nicht patcht, hat keine Entschuldigung mehr.“
— Michael Dobler, Herausgeber Dr. Web
So schützen Sie Ihren Server
Der Patch ist verfügbar. Apache HTTP Server 2.4.67 schließt die Lücke vollständig. Server-Betreiber sollten die Aktualisierung sofort einleiten – über den Paketmanager der jeweiligen Linux-Distribution oder über das offizielle Apache-Release. Wer das Update nicht sofort einspielen kann, sollte als Übergangslösung HTTP/2 im betroffenen VirtualHost temporär deaktivieren.
Für Hosting-Kunden: Prüfen Sie, ob Ihr Anbieter automatische Apache-Updates ausführt oder ob manuelle Eingriffe nötig sind. Managed-Hosting-Anbieter sollten bereits informiert haben. Wer seine Serverinfrastruktur grundlegend auf Sicherheit prüfen will, findet im WordPress-Hosting-Vergleich auf Dr. Web eine gute Übersicht sicherheitsorientierter Anbieter.
Mehr #Apache News
Mehr zu Webserver-Sicherheit
Mehr Newshunger?
