Apache HTTP Server: Hochriskante Lücken ermöglichen Einschleusen von Schadcode

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Im populären Apache HTTP Server klaffen mehrere Sicherheitslücken, von denen mehrere als hochriskant eingestuft wurden. Sie erlauben Angreifern etwa, Schadcode einzuschleusen und auszuführen. Die aktualisierte Version bessert die Schwachstellen aus.

Am Montag dieser Woche hat das Apache-HTTP-Server-Projekt die Version 2.4.67 des Webservers veröffentlicht. Laut Auflistung des Projekts schließt sie gleich elf Sicherheitslücken. Davon gelten fünf als hochriskant, zwei davon verpassen eine Einstufung als „kritisches“ Risiko jedoch nur sehr knapp.

Fünf hochriskante Schwachstellen

Die einzelnen Schwachstellen nach Schweregrad sortiert:

• Double Free and possible RCE vulnerability in Apache HTTP Server with the HTTP/2 protocol (CVE-2026-23918, CVSS 8.8, Risiko „hoch“)
• Escalation of privilege bug in various modules in Apache HTTP 2.4.66 and earlier (CVE-2026-24072, CVSS 8.8, Risiko „hoch“)
• A NULL pointer dereference in mod_dav_lock in Apache HTTP Server 2.4.66 and earlier (CVE-2026-29169, CVSS 7.5, Risiko „hoch“)
• Buffer Over-read vulnerability in Apache HTTP Server (CVE-2026-34059, CVSS 7.5, Risiko „hoch“)
• Allocation of Resources Without Limits or Throttling vulnerability in Apache HTTP Server's mod_md (CVE-2026-29168, CVSS 7.3, Risiko „hoch“)
• HTTP response splitting vulnerability in multiple Apache HTTP Server modules (CVE-2026-33523, CVSS 6.5, Risiko „mittel“)
• A NULL pointer dereference in the mod_authn_socache in Apache HTTP Server 2.4.66 and earlier (CVE-2026-33007, CVSS 5.3, Risiko „mittel“)
• Improper Null Termination, Out-of-bounds Read vulnerability in Apache HTTP Server (CVE-2026-34032, CVSS 5.3, Risiko „mittel“)
• Out-of-bounds Read vulnerability in mod_proxy_ajp of Apache HTTP Server (CVE-2026-33857, CVSS 5.3, Risiko „mittel“)
• A timing attack against mod_auth_digest in Apache HTTP Server 2.4.66 (CVE-2026-33006, CVSS 4.8, Risiko „mittel“)
• Heap-based Buffer Overflow vulnerability in mod_proxy_ajp of Apache HTTP Server (CVE-2026-28780, noch ohne CVSS-Wert)

IT-Verantwortliche mit Apache HTTP Servern sollten die Software zügig auf den neuen Stand bringen.

Projekte unter dem Apache-Schirm sind begehrte Ziele bei Cyberkriminellen. Mitte April haben bösartige Akteure Sicherheitslücken in Apache ActiveMQ Broker und ActiveMQ angegriffen.

Siehe auch:

• Apache HTTP Server: Download schnell und sicher von heise.de

(dmk)