Apache HTTP Server 緊急資安通報
請資安窗口協助轉達教職員,有使用 Apache HTTP Server 請盡速更新系統。
Apache基金會發布HTTP Server更新2.4.67版,其中修補高風險等級的弱點 CVE-2026-23918, 攻擊者有機會將其用於遠端執行任意程式碼。
漏洞重點摘要
- Apache HTTP Server 2.4.67 共修補 11 項資安漏洞
- CVE-2026-23918 被列為 Important 等級
- 漏洞存在於 HTTP/2 通訊協定
- 漏洞類型為 Double Free(記憶體雙重釋放)
- CVSS 風險評分:8.8 / 10(高風險)
- 可能造成遠端程式碼執行(RCE)與阻斷服務(DoS)
5月4日 Apache 基金會發布 2.4.67 版網頁伺服器軟體 HTTP Server, 總共修補11個資安漏洞,其中被列為重要(Important)等級的 CVE-2026-23918 最值得留意。
CVE-2026-23918 存在於 HTTP Server 的 HTTP/2 通訊協定, 為記憶體雙重釋放(Double Free)造成的弱點, 攻擊者有機會用於發動遠端程式碼執行(RCE)攻擊, CVSS風險為8.8分(滿分10分),屬高風險層級。
風險說明
通報此弱點的資安公司 Striga.ai 共同創辦人 Bartlomiej Dmitruk 向 The Hacker News 說明漏洞細節,指出該漏洞不只能被用於執行任意程式碼, 還有可能導致網頁伺服器服務中斷(DoS)。
Dmitruk 強調,利用漏洞的難度不高, 攻擊者若要發動阻斷服務攻擊, 需針對預設組態的 mod_http2 模組與特定多執行緒模組(MPM); 若要執行程式碼, 則需要搭配 Apache Portable Runtime(APR)與特定元件才能達成目的。
建議處置措施
- 立即確認 Apache HTTP Server 版本
- 盡速更新至 2.4.67 或後續安全版本
- 檢查是否啟用 mod_http2 模組
- 確認 APR 與相關元件版本是否同步更新
- 避免對外暴露未更新之 Web Server
資料來源
