CVE-2026-23918 : Apache HTTP/2 RCE, patch 2.4.67

Ce qui s'est passé

Le 4 mai 2026, l'Apache Software Foundation a publié la version 2.4.67 du HTTP Server, qui corrige cinq vulnérabilités d'ampleur variable. La plus critique, CVE-2026-23918, est un double-free dans le module mod_http2 capable de conduire à une exécution de code à distance dans le contexte du processus httpd. La faille avait été remontée en privé à l'équipe sécurité Apache le 10 décembre 2025 par un chercheur tiers, qui a accepté un délai de divulgation coordonné de près de cinq mois pour permettre la livraison d'un patch propre.

Techniquement, le bug se déclenche dans la séquence dite d'early stream reset. Quand un client HTTP/2 ouvre un stream puis envoie un RST_STREAM avant que le serveur ait fini de traiter les en-têtes ou la payload, le code de mod_http2 libère deux fois la même structure mémoire. Cette double libération corrompt l'allocator interne d'APR (Apache Portable Runtime) et ouvre une fenêtre exploitable pour réécrire des pointeurs de fonction. La conversion d'une simple corruption en exécution de code dépend du heap allocator utilisé et des protections compilées, mais des chercheurs ont déjà démontré qu'un primitif de write-what-where était atteignable.

Le périmètre des installations vulnérables est large mais bien défini. Seule la version 2.4.66, sortie en mars 2026, est affectée par CVE-2026-23918. Les versions plus anciennes ne contiennent pas le code introduisant la régression, mais elles peuvent être touchées par les quatre autres vulnérabilités également colmatées dans 2.4.67, parmi lesquelles des bugs de buffer overflow et d'escalade de privilèges signalés dans des modules périphériques. La condition nécessaire à l'exploitation reste l'activation d'HTTP/2, fonctionnalité aujourd'hui par défaut sur la grande majorité des reverse proxies front-Web.

Apache HTTP Server reste l'un des deux serveurs web les plus utilisés au monde aux côtés de Nginx, avec une présence forte sur les distributions Linux entreprises (RHEL, Ubuntu Server, Debian), les hébergeurs mutualisés et les piles applicatives héritées. Les avis publiés par Apache, ainsi que les bulletins relayés par cybersecuritynews.com et gbhackers.com, parlent d'un risque touchant des millions de serveurs exposés. Aucune exploitation in the wild n'est documentée à l'heure de publication, mais les bulletins SecurityOnline et The Hacker Wire alertent sur la grande probabilité d'un PoC public dans les jours qui viennent, le pattern de double-free HTTP/2 étant déjà bien documenté depuis les vagues d'attaques sur Nginx en 2023.

Le diagnostic d'exposition est simple : tout serveur Apache 2.4.66 avec mod_http2 chargé et écoutant en TLS sur un port public est concerné. Une commande comme apachectl -v sur le serveur, ou une requête nmap -sV --script http-server-header sur la périmétrie, permet d'identifier rapidement la version. Côté supervision, les WAF et IDS doivent en parallèle activer leurs signatures HTTP/2, en particulier les détections de RST_STREAM en surnombre ou de séquences anormales de stream-open / stream-close, qui forment le marqueur principal d'une tentative d'exploitation.

Apache recommande deux voies de traitement. La première, recommandée, est la montée vers 2.4.67, qui colmate les cinq vulnérabilités du bulletin. Cette mise à jour requiert un redémarrage du service httpd et, dans la majorité des cas, un cycle de validation court pour les workloads PHP, mod_wsgi ou Tomcat AJP qui s'appuient sur le serveur frontal. La seconde, à n'utiliser que comme contournement temporaire, consiste à désactiver mod_http2 en commentant la directive LoadModule http2_module, ce qui force les clients à retomber en HTTP/1.1 et neutralise le vecteur. Cette mitigation a un coût mesurable sur la latence et la concurrence, mais elle est efficace en attendant la fenêtre de patch.

Pour les hébergeurs mutualisés et les MSP, la difficulté est opérationnelle plus que technique. Patcher des milliers d'instances en quelques heures, sans casser des configurations clients hétérogènes, exige un pipeline de déploiement testé. Plusieurs hébergeurs francophones, dont OVHcloud et Infomaniak, ont historiquement publié des bulletins de patch automatique sous 48 heures sur ce type d'alerte. Les administrateurs auto-hébergés doivent vérifier leurs propres dépôts : Red Hat, Canonical et Debian publient leurs paquets backportés en parallèle des versions amont, avec parfois un décalage de 24 à 72 heures.

Cette nouvelle vulnérabilité s'inscrit dans une série inquiétante de failles HTTP/2 et HTTP/3 qui touchent depuis deux ans l'ensemble de l'écosystème : Rapid Reset (CVE-2023-44487) chez Nginx, AWS et Cloudflare, MadeYouReset en 2025, et désormais cette nouvelle classe de double-free. La complexité du protocole HTTP/2 et la difficulté de gérer correctement les transitions d'état des streams expliquent cette répétition. Les RSSI doivent en tirer une conclusion : les piles HTTP/2 nécessitent une attention de patching équivalente à celle des bibliothèques cryptographiques.

Pourquoi c'est important

L'omniprésence d'Apache HTTP Server dans les architectures legacy en fait l'un des composants dont la maîtrise du cycle de patch est la plus dimensionnante pour le risque global. Beaucoup d'entreprises n'ont plus une vision exhaustive de leurs serveurs httpd, parfois empilés derrière des reverse proxies, déployés dans des conteneurs hérités, ou intégrés à des appliances achetées il y a dix ans. CVE-2026-23918 va forcer un nouvel inventaire, au même titre que Heartbleed avait obligé les équipes à recenser toutes les bibliothèques OpenSSL en 2014. Les entreprises qui n'ont pas un SBOM serveur à jour vont devoir improviser leur cartographie sous pression.

L'autre enjeu est celui de la chaîne d'exposition. De nombreux applicatifs métiers, en particulier dans la santé, l'industrie et l'administration française, exposent des frontaux Apache devant Tomcat, JBoss ou des middlewares maison. Une exploitation réussie de la double-free HTTP/2 ne donnerait pas seulement un shell sur le serveur web : elle ouvrirait potentiellement un pivot vers les middlewares applicatifs, parfois mal segmentés et porteurs de secrets de connexion. Les équipes red team auront vraisemblablement de quoi s'occuper avec ce CVE pendant plusieurs mois, et les RSSI doivent anticiper que la fenêtre exposée se mesurera en semaines, pas en jours.

Sur le plan réglementaire, NIS2 et la directive ANSSI sur les opérateurs essentiels imposent désormais une obligation de patch dans des délais courts pour les vulnérabilités à fort impact connues exploitables. CVE-2026-23918 répond aux critères, et les opérateurs régulés doivent documenter leur traitement avec horodatage. Les décisions de la CNIL en 2025 ont rappelé que l'absence de patch sur des bases de données sensibles pouvait justifier des sanctions ; la même logique commencera à s'appliquer aux serveurs frontaux exposés. La trace écrite, du ticket d'ouverture à la validation post-patch, devient un actif juridique.

Enfin, sur le plan stratégique, l'accumulation de vulnérabilités HTTP/2 questionne la pertinence de garder cette pile activée par défaut sur les périmètres internet sensibles. Quelques grandes entreprises commencent à reculer vers HTTP/1.1 sur les frontaux purement statiques, ou à déléguer toute la terminaison HTTP/2 à des reverse proxies durcis comme HAProxy ou Envoy. Cette décision a un coût en performance, mais elle réduit drastiquement la surface d'attaque exposée par Apache et Nginx. La question mérite d'être posée dans les comités d'architecture : faut-il vraiment terminer HTTP/2 sur Apache 2.4 quand un proxy spécialisé peut le faire mieux ?

Ce qu'il faut retenir

• CVE-2026-23918 est un double-free RCE dans Apache HTTP Server 2.4.66 avec mod_http2 chargé, score CVSS 8.8, corrigé en 2.4.67.
• Mise à jour immédiate ou désactivation de mod_http2 en contournement temporaire ; déclenchement via early stream reset HTTP/2.
• Inventorier les frontaux Apache reste prioritaire : les hébergeurs mutualisés, les middlewares legacy et les appliances embarquant httpd sont les plus exposés.