CVE-2026-23918 : double-free dans Apache HTTP Server 2.4.66 via HTTP/2, patch disponible
Un double-free dans mod_http2 (CVE-2026-23918, CVSS 8.8) affecte Apache HTTP Server 2.4.66. La faille se déclenche par une séquence HEADERS + RST_STREAM en race et permet un DoS confirmé, une RCE potentielle. Correctif dans la version 2.4.67 du 4 mai 2026.
Apache HTTP Server est le serveur web le plus déployé au monde, présent sur des millions de systèmes Linux, macOS et BSD. Le module mod_http2, qui apporte le support du protocole HTTP/2, est activé par défaut dans la majorité des builds récents et dans les distributions Linux majeures. Le 4 mai 2026, la version 2.4.67 a été publiée en urgence pour corriger CVE-2026-23918, une vulnérabilité double-free notée CVSS 8.8.
La vulnérabilité : un double-free dans h2_mplx.c
La faille réside dans le chemin de nettoyage des streams HTTP/2, dans le fichier h2_mplx.c. Elle se déclenche lorsqu'un client envoie une trame HEADERS immédiatement suivie d'un RST_STREAM avec un code d'erreur non nul, sur le même stream, avant que le multiplexeur ait eu le temps d'enregistrer ce stream. Cette condition de course libère deux fois la même structure mémoire en mémoire heap.
La corruption mémoire résultante entraîne :
- Un déni de service confirmé (crash du processus httpd)
- Une exécution de code arbitraire potentielle (RCE), selon les conditions d'exploitation et les protections mémoire actives
La vulnérabilité a été découverte et signalée par Bartlomiej Dmitruk et Stanislaw Strzalkowski. Le correctif a été commis en révision r1930444 dès le 11 décembre 2025, mais n'a été rendu public qu'avec la release 2.4.67 le 4 mai 2026.
Versions affectées
| Version | Statut |
|---|---|
| Apache HTTP Server ≤ 2.4.65 | Non affectée par cette CVE |
| Apache HTTP Server 2.4.66 | Affectée — CVSS 8.8 |
| Apache HTTP Server 2.4.67 | Corrigée — release 4 mai 2026 |
La surface d'attaque est significative : mod_http2 est inclus dans les builds par défaut et HTTP/2 est activé dans la majorité des configurations de production modernes (et dans les reverse proxies Nginx qui forward en HTTP/2 vers Apache). L'attaque ne nécessite aucune authentification — tout client HTTP/2 peut déclencher la séquence problématique.
Mitigation immédiate
Option 1 (recommandée) : mettre à jour vers Apache HTTP Server 2.4.67. La mise à jour est disponible depuis le 4 mai 2026 via les canaux habituels (packages distro, sources officielles).
Option 2 (mitigation temporaire) : si la mise à jour n'est pas immédiatement possible, désactiver HTTP/2 pour réduire la surface d'exposition :
# Dans httpd.conf ou votre VirtualHost
Protocols http/1.1
Cette restriction dégrade les performances pour les clients modernes mais élimine le vecteur d'attaque jusqu'à la mise à jour.
Nuance sur la RCE
À la date de publication (4 mai 2026), l'exploitation en RCE n'a pas été démontrée publiquement. La CVE est qualifiée de "double free and possible RCE" par le projet Apache. Historiquement, les vulnérabilités double-free dans des daemons réseau accessibles sans authentification ont régulièrement abouti à une exploitation en RCE — notamment sur les systèmes sans ASLR agressif ou avec des allocateurs heap prévisibles. La fenêtre de risque est toutefois limitée à la version 2.4.66 uniquement : les déploiements encore sur 2.4.65 ou antérieur ne sont pas affectés par cette CVE spécifique.
La priorité reste la mise à jour immédiate vers 2.4.67.