Фонд Apache Software Foundation выпустил срочное обновление безопасности для своего популярного веб-сервера. Причина - опасная уязвимость, которая позволяет злоумышленникам удаленно выполнять вредоносный код на атакованных системах. Проблема зарегистрирована под идентификатором CVE-2026-23918. Она ставит под удар миллионы веб-сайтов по всему миру, работающих на базе Apache HTTP Server.
Суть уязвимости
Обнаруженный дефект относится к категории ошибок двойного освобождения памяти. Такие уязвимости возникают, когда программа пытается освободить один и тот же участок памяти дважды. В данном случае проблема затрагивает обработку протокола HTTP/2 - современной версии протокола передачи гипертекста. Когда сервер получает специальную команду раннего сброса соединения через HTTP/2, его менеджер памяти выходит из строя. Система ошибочно обрабатывает один и тот же блок памяти повторно.
Подобное повреждение памяти считается крайне опасным. В худшем случае оно позволяет атакующему взять под контроль сервер. Однако даже если эксплуатация не приводит к полному захвату, она способна вызвать аварийное завершение работы веб-сервера. Это превращается в атаку типа "отказ в обслуживании", что выводит сайты из строя и делает их недоступными для посетителей.
Команда безопасности Apache оценила уровень угрозы как "важный". Поскольку Apache HTTP Server входит в число самых распространенных веб-серверов в мире, поверхность атаки огромна. Миллионы организаций, от небольших блогов до крупных корпораций и государственных учреждений, используют это программное обеспечение.
Какие версии уязвимы
Проблема затрагивает только одну версию - Apache HTTP Server 2.4.66. Если в вашей среде установлена именно эта версия и при этом включена поддержка протокола HTTP/2, системы находятся под угрозой. Эксплуатация уязвимости не требует сложных предварительных условий. Злоумышленнику достаточно отправить специально сформированный запрос.
История обнаружения и исправления
Критическую уязвимость обнаружили исследователи в области кибербезопасности Бартломей Дмитрук из компании striga.ai и Станислав Стшалковский из isec.pl. Они направили приватное уведомление команде безопасности Apache 10 декабря 2025 года. Разработчики отреагировали оперативно - уже на следующий день в исходный код была внесена правка. Однако официальный патч стал доступен широкой публике только с выходом версии 2.4.67, которая была опубликована 4 мая 2026 года.
Такой разрыв во времени между обнаружением и выпуском обновления объясняется необходимостью тщательного тестирования исправления. Ведь любая ошибка в патче для столь массового продукта могла привести к новым проблемам. Тем не менее задержка в несколько месяцев создала окно возможностей для злоумышленников. Пока администраторы не обновили серверы, системы оставались уязвимыми.
Практические последствия
Если атакующий успешно эксплуатирует уязвимость, он получает возможность удаленно выполнять произвольные команды. Это означает полный контроль над сервером. Злоумышленник может украсть базы данных, изменить содержимое сайтов, развернуть программы-вымогатели или использовать сервер как плацдарм для атак на другие системы внутри сети. Особую опасность представляет возможность закрепления в системе, когда хакер создает скрытые точки входа для повторного доступа.
Даже если эксплуатация ограничивается только отказом в обслуживании, последствия серьезны. Простой веб-сервера означает потерю дохода для интернет-магазинов, недоступность сервисов для пользователей и репутационный ущерб. Особенно критично это для госсектора и финансовых организаций, где каждый час простоя может оборачиваться миллионными убытками.
Рекомендации по защите
Первоочередная мера - немедленное обновление Apache HTTP Server до версии 2.4.67. Только установка патча полностью устраняет уязвимость. Перед обновлением стоит проверить журналы доступа и ошибок сервера на предмет подозрительной активности. Необычные шаблоны HTTP/2-трафика или внезапные сбои могут свидетельствовать о попытках эксплуатации. Если по каким-то причинам применить патч невозможно, временной мерой станет отключение протокола HTTP/2. Это снизит функциональность, но предотвратит атаку.
Специалистам по безопасности стоит также пересмотреть настройки сетевой защиты. Эшелонированная оборона, включающая системы обнаружения вторжений и межсетевые экраны, способна выявить аномальные запросы на ранней стадии. Однако главная линия обороны - своевременное обновление программного обеспечения. Патч-менеджмент остается ключевым инструментом в борьбе с подобными угрозами.
Выводы
Уязвимость CVE-2026-23918 - очередное напоминание о том, что даже зрелые и широко используемые проекты не застрахованы от серьезных дефектов. Ошибка двойного освобождения памяти в обработке HTTP/2 оказалась критической именно из-за массовости Apache HTTP Server. Задержка в несколько месяцев между обнаружением и выпуском патча - тревожный сигнал. Она показывает, как важна быстрая реакция инфраструктурных команд на уведомления об уязвимостях.
Для администраторов веб-серверов ситуация требует безотлагательных действий. Промедление с обновлением ставит под угрозу не только собственные системы, но и данные миллионов пользователей. Учитывая, что Apache HTTP Server используется повсеместно, потенциальный ущерб от массовой эксплуатации может быть колоссальным. Поэтому каждому специалисту стоит проверить версию своего сервера прямо сейчас и применить исправление, если оно еще не установлено.
Ссылки
- https://httpd.apache.org/security/vulnerabilities_24.html
- https://www.cve.org/CVERecord?id=CVE-2026-23918
