Apache HTTP Serverに、かなり厄介な脆弱性が見つかりました。
The Hacker Newsの記事によると、CVE-2026-23918 は HTTP/2処理の double free(同じメモリを2回解放してしまう不具合) によるもので、サービス停止(DoS) だけでなく、条件次第では リモートコード実行(RCE) まで狙えるとされています。
正直、これは「またApacheか」というより、**“Webサーバーの土台がやられると、影響範囲が一気に広がる”系の怖さ** がある話です。しかもHTTP/2は今どきの本番環境で普通に使われていることが多いので、なかなか侮れません。
Apache Software Foundation(ASF)は、HTTP Serverにいくつかのセキュリティ修正を出しました。その中でも注目なのが CVE-2026-23918 です。
CVSSスコアは 8.8。かなり高めで、雑に言えば「放置すると危ない」クラスです。
この脆弱性は、Apache HTTP Server 2.4.66 の mod_http2、つまりHTTP/2を扱う部分にあります。
しかも単なる不具合ではなく、記事では “double free and possible RCE” と表現されています。ここが重い。なぜなら、メモリ管理のミスは「クラッシュするだけ」で終わることもありますが、条件が揃うと攻撃者にコード実行まで許すことがあるからです。
少し技術っぽい話になりますが、できるだけわかりやすくいきます。
このバグは、HTTP/2の通信の流れの中で、
HEADERSフレーム を受け取った直後に、同じストリームに対して RST_STREAM が飛んでくると発生します。
問題は、Apache側がまだそのストリームを完全に登録しきる前に、終了処理が二重に走ってしまうことです。
その結果、同じ h2_stream ポインタが cleanup用の配列に2回入る。そして後で破棄処理が回ったとき、すでに解放されたメモリを再度解放しようとしてクラッシュします。
要するに、
「もう捨てたはずの箱を、うっかりもう一回ゴミ出ししてしまう」
みたいな事故です。地味に見えて、メモリ管理ではかなり危険な事故です。
記事によると、DoSはトリガーが非常に簡単 です。
これで、workerプロセスがクラッシュします。
Apacheは落ちたworkerを再起動しますが、その瞬間にリクエストは落ちるので、攻撃を続けられるとサービス品質がガタガタになります。
これは実運用ではかなり嫌です。
「一撃で全部落ちる」わけではなくても、継続的に部分障害を起こされるのは、障害対応の現場ではかなりしんどいタイプの攻撃です。
もっと怖いのは、RCEの可能性 です。
RCEは Remote Code Execution の略で、攻撃者がサーバー上で任意のコードを動かせることを意味します。つまり、単なる妨害ではなく、侵入に近い話です。
研究者は x86_64 で 動くPoC(実証コード)を作成した と述べています。
攻撃の流れとしては、解放された仮想アドレスを再利用して 偽の h2_stream 構造体 を置き、そこに system() を呼ぶようなcleanup関数 を向ける、というかなり攻撃的な手口です。
このあたり、正直かなりハイレベルです。
個人的には「普通のWebサイトを落とすだけの脆弱性」とは別格で、**“メモリ破壊系の不具合が、条件次第で攻撃チェーンに化ける”典型例** だと思います。
ここは大事です。
記事でも、RCEにはいくつか条件があるとされています。
つまり、DoSは簡単、RCEは難しめ です。
ただし「難しい=安心」ではありません。攻撃者側が本気で検証すれば、現実に悪用される余地がある、というのが厄介なところです。
しかも、scoreboard memory が固定アドレスで存在する という点が、RCEの実用性を上げてしまっているようです。ASLR(アドレス空間配置のランダム化)があっても、固定要素があると攻撃の足がかりになります。
このへん、攻撃者と防御側のいたちごっこがそのまま見えるようで、なかなか生々しいです。
研究者によると、MPM prefork はこの脆弱性の影響を受けません。
MPMは Apache の「リクエストをどうさばくか」という実行方式の違いです。
ざっくり言うと、
今回の問題は mod_http2 + multi-threaded MPM で特に問題になりやすい、とされています。
つまり、高速化・効率化のために使っている構成が、攻撃面を広げてしまう ということでもあります。これ、インフラ運用ではわりとある話で、便利さと安全性のトレードオフを感じます。
結論はシンプルです。
Apache HTTP Server を 2.4.67 に更新すること。これが最優先です。
特に次のような環境は要注意だと思います。
mod_http2 が有効「うちは外から直接Apacheに来ないから大丈夫」と思いたくなる気持ちはわかりますが、こういう脆弱性は内部向け・公開向けを問わず影響します。
攻撃経路は単純でも、実際のインシデントは思わぬところから来るものです。
この件で面白い、というと語弊があるかもしれませんが、技術的に見るとHTTP/2の処理とメモリ管理の組み合わせが、ここまで危険な結果につながる のが興味深いです。
一見すると「ただのクラッシュ」で済みそうなのに、固定アドレスやallocatorの条件が加わると、RCEの入口になる。こういう話は、脆弱性研究の世界の怖さと面白さが同居しています。
そしてもうひとつ重要なのは、**“デフォルト構成っぽいものほど危ない”** という点です。
mod_http2が標準的に入っていて、HTTP/2も広く使われている。つまり、この脆弱性は特定のマニアックな環境だけの話ではない、ということです。ここはかなり重要だと思います。
CVE-2026-23918 は、Apache HTTP Server の HTTP/2処理にある double free の脆弱性で、DoSは簡単に成立 し、条件がそろえば RCEの可能性 もあります。
影響を受けるのは主に Apache HTTP Server 2.4.66 で、修正版は 2.4.67 です。
もしあなたの環境で Apache を使っているなら、
「HTTP/2を使っているか」「mod_http2が有効か」「バージョンはいくつか」 をすぐ確認したほうがいいです。
こういう脆弱性は、ニュースとして読むぶんには興味深いですが、運用者からするとかなり笑えません。だからこそ、早めの更新がいちばん効く対策です。
参考: Critical Apache HTTP/2 Flaw (CVE-2026-23918) Enables DoS and Potential RCE