En bref

  • CVE-2026-23918 (CVSS 8.8 Élevé) — double-free dans le module HTTP/2 (mod_http2) d'Apache HTTP Server 2.4.66, déclenchable par une séquence de deux trames HTTP/2.
  • Systèmes affectés : Apache HTTP Server 2.4.66 uniquement, avec mod_http2 chargé et un MPM multi-thread. Systèmes Debian/Ubuntu et images Docker officielles Apache exposés au RCE (allocateur APR mmap).
  • Action urgente : mettre à jour vers Apache HTTP Server 2.4.67. Si impossible, désactiver HTTP/2 immédiatement.

Les faits

CVE-2026-23918 est une vulnérabilité de type double-free (CWE-415) dans le module mod_http2 d'Apache HTTP Server, affectant exclusivement la version 2.4.66. La faille a été découverte par Bartlomiej Dmitruk (striga.ai) et Stanislaw Strzalkowski (isec.pl), signalée à l'équipe de sécurité Apache le 10 décembre 2025, et corrigée en 24 heures (révision r1930444). L'advisory public et Apache HTTP Server 2.4.67 ont été publiés simultanément le 4 mai 2026, cinq mois après la correction privée, suite à une coordination avec les distributions Linux majeures. Le score CVSS v3.1 est 8.8 (Élevé) selon l'évaluation CISA-ADP (vecteur : AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) ; la fondation Apache la classe «Important».

Le déni de service est en cours d'exploitation active en production depuis le 5 mai 2026. Des scans massifs d'Internet ciblant les endpoints HTTP/2 ont été observés par les opérateurs de honeypots, et des administrateurs Apache rapportent sur Reddit et les forums cybersécurité des crashs répétés de processus workers. Un dépôt proof-of-concept public a été publié peu après la divulgation, abaissant significativement la barrière à l'entrée pour l'exploitation.

La cause racine est une logique de double-push dans la gestion des réinitialisations (RST_STREAM) de flux HTTP/2. HTTP/2 permet la multiplexation de plusieurs requêtes parallèles sur une seule connexion TCP, chaque requête étant un stream. Dans mod_http2, le multiplexeur h2_mplx gère le cycle de vie de chaque stream via une structure h2_stream. Un tableau de nettoyage (cleanup array) accumule les pointeurs h2_stream à libérer. Le bug se manifeste dans la fonction h2_mplx_c1_client_rst() : si un client envoie une trame HEADERS (démarrant un nouveau stream, ID N) suivie immédiatement d'une trame RST_STREAM (annulant ce même stream N) avant que le multiplexeur ait terminé l'enregistrement du stream dans son état interne, deux chemins de code distincts exécutent m_stream_cleanup() avec le même pointeur h2_stream. Ce pointeur est donc empilé deux fois dans le cleanup array, et lors de l'itération ultérieure, h2_stream_destroy() est appelée deux fois sur la même mémoire allouée — un double-free classique.

L'exploit de déni de service est trivial : une seule connexion TCP, deux trames HTTP/2 (HEADERS + RST_STREAM immédiat) suffisent à crasher le processus worker. Apache redémarre automatiquement les workers crashés, mais un attaquant envoyant l'exploit en continu peut maintenir le serveur hors service de façon quasi-permanente. En termes d'impact opérationnel, c'est équivalent à un DoS volumétrique classique mais réalisé avec une seule connexion et deux paquets.

Le chemin vers l'exécution de code à distance (RCE) nécessite des conditions supplémentaires mais représente un risque concret. Les systèmes utilisant l'allocateur mmap d'Apache Portable Runtime (APR) — qui est le défaut sur les distributions Debian (Debian, Ubuntu, Kali, Raspberry Pi OS) et dans les images Docker officielles Apache — présentent un comportement mémoire permettant une exploitation plus avancée. Les chercheurs ont démontré en laboratoire un exploit RCE qui : (1) place une fausse structure h2_stream à une adresse virtuelle prévisible en exploitant le comportement des grandes allocations mmap, (2) utilise la mémoire du scoreboard Apache (mappée à une adresse relative stable) pour contourner l'ASLR, et (3) redirige le nettoyage du stream compromis pour appeler system() avec une commande contrôlée par l'attaquant. Les chercheurs rapportent que l'exploit RCE «s'exécute en quelques minutes» en conditions de laboratoire contre des cibles Debian. Aucune exploitation RCE à grande échelle n'a été confirmée au 27 mai 2026, mais la disponibilité du PoC DoS et les détails techniques publiés rendent le développement d'un exploit RCE opérationnel accessible à des attaquants avancés.

Le contexte de déploiement d'Apache 2.4.66 amplifie l'impact potentiel. Cette version a été publiée début 2026 ; de nombreuses organisations suivant une politique de mise à jour automatique auraient migré vers 2.4.66 rapidement après sa sortie. Les systèmes RHEL, CentOS et Fedora utilisent par défaut un allocateur APR sans mmap, les limitant au chemin DoS. Les serveurs Debian et Ubuntu, qui représentent une part importante de l'hébergement web Linux, et toutes les installations Docker utilisant l'image officielle httpd:2.4 ou httpd:2.4.66 sont exposés au chemin RCE. Apache HTTP Server propulse environ 200 à 400 millions de sites web mondiaux.

La divulgation responsable dans ce cas constitue un exemple positif rare : un correctif en 24 heures par les développeurs Apache après signalement, une coordination de cinq mois avec Debian, Ubuntu et Red Hat avant la divulgation publique, et une publication simultanée de l'advisory et du patch le 4 mai 2026. La liste OSS-Security (openwall.com), The Hacker News, CybersecurityNews, SecurityAffairs et le bureau de sécurité informatique de l'université UC Berkeley ont publié des alertes dès le 4–5 mai 2026. Des signatures IDS/IPS Snort et Suricata pour la détection de la séquence HEADERS + RST_STREAM anormale sont disponibles dans les rulesets communautaires depuis le 7 mai 2026.

La fenêtre d'exposition entre la publication d'Apache 2.4.66 (début 2026) et celle du correctif dans 2.4.67 (4 mai 2026) est préoccupante : de nombreux systèmes en production, notamment chez les hébergeurs web et les environnements DevOps utilisant les images Docker officielles, ont pu tourner en version vulnérable sans en être informés, la correction privée n'ayant pas été annoncée publiquement avant la sortie de 2.4.67.

Impact et exposition

Toute installation d'Apache HTTP Server 2.4.66 avec mod_http2 activé (ce qui est le cas par défaut dans de nombreuses configurations modernes orientées performance) est immédiatement vulnérable au déni de service. La fenêtre d'exploitation est d'autant plus critique que l'exploit est minimal : aucun outil sophistiqué n'est requis, un simple script envoyant la séquence HEADERS + RST_STREAM suffit à crasher un worker. Des outils automatisés exploitant ce pattern ont déjà été observés dans la wild depuis le 5 mai 2026.

Les hébergeurs web, les plates-formes SaaS et les API publiques utilisant Apache 2.4.66 sont les cibles prioritaires pour le DoS. Une indisponibilité prolongée via cette faille peut constituer une violation de SLA et, pour les services critiques (e-commerce, santé en ligne, services gouvernementaux), avoir des conséquences opérationnelles graves.

Sur les systèmes Debian/Ubuntu et les conteneurs Docker utilisant les images Apache officielles, la possibilité de RCE doit être traitée comme un risque actif dès lors que le PoC existe dans la nature. Un attaquant parvenant à l'exécution de code arbitraire dans le contexte du processus Apache (généralement l'utilisateur www-data) peut pivoter vers des techniques d'escalade de privilèges locales pour obtenir un accès root au serveur.

Les environnements utilisant Apache comme reverse proxy devant Tomcat, Node.js ou Python, ou comme serveur d'applications avec mod_wsgi, mod_php ou mod_perl, voient l'ensemble de leurs applications backend exposées à une compromission si le processus Apache est pris en charge. Les certificats TLS, clés privées et données de session en mémoire sont également extractibles dans ce scénario.

Recommandations immédiates

  • Mettre à jour vers Apache HTTP Server 2.4.67 — Apache Security Advisory CVE-2026-23918 (apache.org/security/vulnerabilities_24). Pour Debian/Ubuntu : apt-get update && apt-get install apache2. Pour RHEL/CentOS : dnf update httpd. Pour les images Docker : docker pull httpd:2.4.67.
  • Si le patch immédiat est impossible — désactiver HTTP/2 : remplacer Protocols h2 h2c http/1.1 par Protocols http/1.1 dans httpd.conf et redémarrer Apache. Cette mitigation élimine le chemin d'exploitation.
  • Limiter les connexions HTTP/2 : ajouter H2MaxSessionStreams 10 et des règles de rate-limiting au niveau du load balancer pour réduire l'impact d'une tentative DoS.
  • Vérifier la configuration Docker : inspecter les images en production avec docker exec <container> httpd -v et repuller les images officielles si nécessaire.
  • Déployer les signatures IDS/IPS Snort/Suricata disponibles depuis le 7 mai 2026 pour détecter la séquence HEADERS + RST_STREAM anormale (SIDs publiés sur la liste OSS-Security openwall.com).

⚠️ Urgence

Déni de service exploité activement en production sur Apache 2.4.66 depuis le 5 mai 2026 ; PoC RCE publié pour les systèmes Debian/Ubuntu et Docker. Patch vers 2.4.67 obligatoire immédiatement — à défaut, désactiver HTTP/2 sans délai.

Comment savoir si je suis vulnérable ?

Vérifiez la version Apache : apache2 -v ou httpd -v. Si le résultat affiche «2.4.66», vous êtes vulnérable. Vérifiez si mod_http2 est chargé : apache2ctl -M 2>&1 | grep http2. Vérifiez si HTTP/2 est activé dans la config : grep -ri "Protocols" /etc/apache2/ — la présence de «h2» ou «h2c» confirme l'exposition. Pour les conteneurs Docker : docker exec <container> httpd -v.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit