Apache Software Foundation は 5 月 4 日、Apache HTTP Server 2.4.66 の mod_http2 に二重解放の重大脆弱性 CVE-2026-23918 (CVSS 8.8) があると oss-security に公表し、同日修正版 2.4.67 を配布しました。クライアントが HTTP/2 の HEADERS フレーム直後にエラー付きの RST_STREAM を送ると、ストリーム解放経路で同一ポインタが二度クリーンアップされる問題で、DoS から条件次第で RCE まで成立し得ます。
主なポイント
- 影響を受けるのは
mod_http2を有効にしたマルチスレッド MPM のデフォルト構成。HTTP/2 をProtocolsから外す回避策あり - 報告は 2025 年 12 月 10 日に striga.ai と isec.pl の研究者が実施。Apache 側はその翌日にコミットで修正済みだが、公開パッチ公開は 5 月 4 日まで遅れた
- DoS は容易に成立。RCE は APR の mmap アロケータ (Debian 系のデフォルト) で fake
h2_streamを配置し、scoreboard に固定アドレスを利用してチェーンを組む手法が示されている - 公開時点では実環境での悪用報告なし。ただし mod_http2 を使うサイトは数百万規模で、即座のアップグレードまたは HTTP/2 無効化が推奨される
- 公的脆弱性 DB (NVD・OpenCVE) にも 5 月 5 日までに登録済み