Apache 软件基金会已发布针对 Apache HTTP Server 的关键安全更新,修复了五个漏洞。在 2026 年 5 月 4 日发布的 2.4.67 版本中,包含一个危险的双重释放漏洞,可导致远程代码执行(RCE)。强烈建议所有运行 2.4.66 或更早版本的用户立即升级。
Part01高危漏洞详情
五个漏洞中最严重的是 CVE-2026-23918,CVSS 基础评分为 8.8,属于高危漏洞。该漏洞源于 Apache HTTP/2 协议实现中“早期流重置”序列所触发的双重释放内存破坏问题。
当程序尝试两次释放同一内存区域时,就会发生双重释放漏洞,这会破坏堆内存结构。在此案例中,攻击者可借此重定向执行流,从而打开远程代码执行的大门。该漏洞仅影响 Apache HTTP Server 2.4.66 版本,由 striga.ai 的 Bartlomiej Dmitruk 和 isec.pl 的 Stanislaw Strzalkowski 于 2025 年 12 月 10 日首次向 Apache 安全团队报告。
第二个漏洞(CVE-2026-24072)被评为中危,涉及 mod_rewrite 在使用 ap_expr 表达式评估时的功能。该漏洞允许本地 .htaccess 作者以 httpd 用户权限读取任意文件,实质上实现了超出其预期访问级别的权限提升。
Part02其他修复漏洞
在 2.4.67 更新中还修复了三个较低严重性的漏洞:
• CVE-2026-28780—mod_proxy_ajp中通过ajp_msg_check_header() 触发的基于堆的缓冲区溢出。如果mod_proxy_ajp连接到恶意 AJP 服务器,该服务器可发送特制AJP消息,导致模块在堆缓冲区末尾写入4个攻击者可控的字节。
• CVE-2026-29168—mod_md 的OCSP响应处理程序中的未限制资源分配漏洞。攻击者可利用此漏洞,通过超大的OCSP响应数据耗尽服务器资源。
• CVE-2026-29169—mod_dav_lock中的空指针解引用漏洞,允许攻击者通过特制请求使服务器崩溃。
Part03缓解措施
鉴于 Apache HTTP Server 在全球范围内的巨大部署规模,CVE-2026-23918 带来的 RCE 风险对全球企业基础设施构成重大威胁。管理员应立即采取以下措施:
• 升级至 Apache HTTP Server 2.4.67 — 这是修复所有五个漏洞的唯一完整方案。
• 临时禁用 HTTP/2 — 如果无法立即升级,可暂时禁用 HTTP/2 以减少 CVE-2026-23918 的暴露风险。
• 移除 mod_dav_lock — 如果该模块未在使用中,可作为 CVE-2026-29169 的临时缓解措施。
• 审核 .htaccess 权限 — 在关注本地用户访问的环境中,限制 CVE-2026-24072 的暴露风险。
来源:cybersecuritynews、freebuf
领取优惠
提交成功!