Apache 修补关键 HTTP/2 双重释放漏洞 CVE-2026-23918

文章标题：Apache 修补关键 HTTP/2 双重释放漏洞 CVE-2026-23918

文章正文：

执行摘要

Apache 软件基金会（ASF）于 2026 年 5 月 4 日发布了针对 Apache HTTP 服务器的安全更新，解决了 HTTP/2 协议处理器中的关键漏洞。该漏洞被追踪为 CVE-2026-23918，CVSS 评分为 8.8，是 mod_http2 模块中的一个双重释放条件，可以远程利用以造成服务拒绝并可能实现远程代码执行（RCE）。ASF 将安全研究员 Stefan Eissing 归功于发现并报告了这个问题。该漏洞影响所有 Apache HTTP 服务器 2.4.64 之前的版本。鉴于 Apache HTTP 服务器作为 Web 基础设施的基石被广泛部署，所有管理员应将此补丁视为紧急事项。

技术分析

根据 ASF 发布的公告，CVE-2026-23918 存在于 mod_http2 中的 HTTP/2 连接处理代码内。该漏洞是一个经典的双重释放 —— 应用程序两次释放内存分配，导致堆损坏。攻击者可以通过向易受攻击的服务器发送精心设计的 HTTP/2 帧序列来触发此条件。

双重释放在处理涉及服务器推送或早期响应取消的 HTTP/2 流时显现。当服务器尝试在中断或重置流后清理资源时，它可能会释放一个已经被先前操作释放的内存缓冲区。这种损坏的堆状态可以被攻击者利用来覆盖函数指针或其他关键数据结构，可能导致在 httpd 进程的上下文中执行任意代码。

ASF 的公告指出，该漏洞是“无需认证即可远程利用”的，并且“成功利用可能允许攻击者执行任意代码”。CVSS 向量字符串（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）证实了低攻击复杂性和无需任何特权或用户交互。

虽然公告没有提供概念验证代码或野外活跃利用的证据，但漏洞的技术性质 —— 一个在广泛部署的网络服务中可远程触发的双重释放 —— 使其成为渗透测试人员和威胁行为者的高优先级目标。据估计，Apache HTTP 服务器为超过 30% 的活跃网站提供动力，其中相当一部分运行 HTTP/2。

缓解措施与建议

ASF 已发布 Apache HTTP 服务器版本 2.4.64，其中包含了 CVE-2026-23918 的修复以及其他几个安全改进。管理员应立即升级。对于无法立即修补的环境，禁用 mod_http2 模块可能作为一种临时解决方案，尽管这将破坏客户端的 HTTP/2 支持。ASF 公告建议审查 2.4.64 的完整变更日志以了解所有更改。

防御者应监控不寻常的 HTTP/2 流量模式，特别是可能表明利用尝试的流重置或取消序列。Web 应用程序防火墙（WAF）规则可以调整以检查 HTTP/2 帧类型，尽管触发双重释放所需的具体帧序列尚未公开披露。