В Apache httpd 2.4.67 исправлена уязвимость в HTTP/2 с возможностью RCE
Проект Apache HTTP Server выпустил корректирующий релиз httpd 2.4.67, в котором устранена уязвимость CVE-2026-23918 в реализации HTTP/2. Проблема получила уровень важности important и связана с ошибкой класса double free при обработке сценария раннего сброса соединения в HTTP/2. В неблагоприятных условиях ошибка может привести не только к аварийному завершению рабочего процесса, но и к потенциальному удалённому выполнению кода.
Согласно описанию Apache, уязвимость затрагивает Apache HTTP Server 2.4.66. Пользователям этой версии рекомендуется обновиться до 2.4.67, где проблема исправлена. В качестве обнаруживших уязвимость указаны Bartlomiej Dmitruk из striga.ai и Stanislaw Strzalkowski из isec.pl.
В changelog релиза также отмечено обновление mod_http2 до версии 2.0.37, где предотвращён повторный purge потока, приводивший к double free, а затем до 2.0.38 и 2.0.39. Помимо CVE-2026-23918, выпуск закрывает ряд других проблем безопасности в mod_proxy_ajp, mod_auth_digest, mod_authn_socache, mod_md, mod_rewrite и других компонентах.
Релиз Apache httpd 2.4.67 опубликован 4 мая 2026 года и объявлен текущей рекомендуемой версией стабильной ветки 2.4.x. Для администраторов, использующих Apache с включённым HTTP/2, обновление стоит рассматривать как приоритетное, особенно если в эксплуатации уже находится 2.4.66.
>>> Официальная страница (apache.org)