#Apache

Apache HTTP Server に HTTP/2 二重解放の重大脆弱性 CVE-2026-23918、2.4.67 で修正

Apache 財団は 5 月 4 日、HTTP/2 の早期リセット時に二重解放を起こす CVE-2026-23918 (CVSS 8.8) を公表し、修正版 2.4.67 を配布。デフォルトで mod_http2 を有効にする多数のサイトが DoS と RCE 双方の影響を受け得る。Debian 系の APR mmap アロケータでは scoreboard を用いた RCE 経路が現実的に成立する。