ثغرة أمنية CVE-2026-23918 فـ Apache HTTP Server: مشكل Double-free فـ mod_http2 كيسمح بـ DoS و RCE

خلاصة (TL;DR) — النسخة 2.4.66 ديال Apache HTTP Server فيها ثغرة double-free فالموديول ديال HTTP/2 (mod_http2)، لي كتخلي مهاجم بلا مصادقة (unauthenticated) يطيح الـ worker processes أو ينفذ كود عن بعد (RCE). هاد الثغرة ما كتحتاجش headers أو URLs سبيسيال، وساهل بزاف تستغل فالسيرفورات لي خدامة بـ multi-threaded. خاص التحديث للنسخة 2.4.67 فالبلاصة.

شنو واقع

كشفات Apache Software Foundation على الثغرة CVE-2026-23918، لي هي عبارة على مشكل ديال double-free فـ mod_http2، وكتأثر على Apache HTTP Server نسخة 2.4.66. هاد الثغرة كتاشفوها باحثين أمنيين وهما Bartlomiej Dmitruk (مؤسس مشارك فـ Striga.ai) و Stanislaw Strzalkowski (باحث فـ ISEC.pl).

هاد الثغرة كاينة فمسار التنظيف ديال الـ streams فمِلف h2_mplx.c. كتوقع ملي الكليان كيصيفط frame ديال HTTP/2 HEADERS ومتبوع مباشرة بـ RST_STREAM برمز خطأ (error code) ماشي زيرو فنفس الـ stream، وهادشي قبل ما الـ multiplexer يسجل هاد الـ stream. كاينين جوج ديال الـ nghttp2 callbacks كيتفعلو واحد مورا لاخور—on_frame_recv_cb بالنسبة للـ RST و on_stream_close_cb باش يسد—وبجوج بيهم كيعيطو على h2_mplx_c1_client_rst، لي بدورها كيعيط على m_stream_cleanup. هادشي كيخلي نفس الـ pointer ديال h2_stream يتزاد فالمصفوفة ديال التنظيف (cleanup array) جوج مرات. ملي c1_purge_streams كتدوز على هاد المصفوفة من بعد و كتعيط على h2_stream_destroy لكل entry، الاستدعاء التاني كيوقع فذاكرة (memory) لي ديجا تفرغات (freed).

تم ترقيع هاد الثغرة فالنسخة 2.4.67 ديال Apache HTTP Server.

علاش هادشي مهم

هاد الثغرة كتطرح جوج ديال السيناريوهات دالهجوم (attack vectors):

هجوم حجب الخدمة (Denial-of-service): اتصال TCP واحد وجوج ديال الـ frames كافيين باش يطيحو worker process. ماكتحتاجش هاد العملية لمصادقة، أو headers خاصين، أو مسارات URLs محددة. واخا السيرفور Apache كيرجع يشغل (respawns) الـ workers لي طاحو، جميع الطلبات (requests) لي كانو غاديين للـ worker لي طاح كيضيعو. المهاجم يقدر يستمر فهاد العملية بلعاني وبلا حباس، وهادشي كيأدي لضعف فالأداء ديال السيرفور ولا التوقف ديالو بشكل كامل.

تنفيذ كود عن بعد (Remote code execution): تدار استغلال لإثبات المفهوم (PoC) فبيئة x86_64. السلسلة كتستغل الثغرة ديال double-free باش تحط بنية وهمية ديال h2_stream فالعنوان ديال الذاكرة لي خوى (freed address) عن طريق إعادة استخدام mmap، ومن بعد كتوجه الـ pool cleanup function ديال هاد البنية لـ system(). الذاكرة ديال scoreboard فـ Apache كتعتبر مساحة مستقرة للبنيات الوهمية والأوامر (command strings). حيت الـ scoreboard كيشد عنوان ثابت فطيلة مدة تشغيل السيرفور واخا كاين حماية ASLR، وهادشي كيخلي مسار الـ RCE ممكن يتنفذ عمليا. على حساب الباحثين الأمنيين، نجح الاستغلال فظروف دالمختبر فغضون دقايق قليلة، واخا الاستغلال فالواقع العملي كيحتاج تسريب دالمعلومات (information leak) باش يجبد offsets ديال system() والـ scoreboard، والعملية ديال heap spray كتبقى احتمالية.

مساحة الهجوم كبيرة بزاف: mod_http2 كيجي بشكل افتراضي فإصدارات Apache، و HTTP/2 مفعل بشكل كبير فبيئات الإنتاج (production environments).

الأنظمة المتأثرة والـ CVEs

• Apache HTTP Server 2.4.66 لي فيه mod_http2
• CVE-2026-23918 (تنقيط CVSS: 8.8)

الـ MPMs لي كتخدم بـ multi-threaded (بحال worker و event) متأثرة بهاد المشكل. بينما MPM prefork ممقاساش بهاد الثغرة.

خطورة خاصة بـ RCE: تنفيذ الكود عن بعد ممكن فالسيرفورات لي كتستعمل Apache Portable Runtime (APR) مع مخصص الذاكرة mmap. هادية هي الإعدادات الافتراضية فالأنظمة المبنية على Debian والصورة الرسمية ديال Docker لـ httpd.

شنو خاصك دير

• حدث السيرفور Apache HTTP Server للنسخة 2.4.67 أو للنسخ لي موراها فالبلاصة.
• دوز جميع التحديثات الأمنية اللخرة (security patches) لي كتقدمها Apache Software Foundation.
• عطي الأسبقية للسيرفورات لي كتخدم بـ multi-threaded MPMs (بحال worker و event) بالإعدادات الافتراضية، وخصوصا دوك لي مبنيين على Debian أو خدامين بصورة Docker الرسمية.
• راجع وحبس الدخول ديال HTTP/2 (ingress) يلا كان هادشي متاح تشغيليا بين ما تدوز التحديثات.

أسئلة مازالا مطروحة

• التاريخ الدقيق فوقاش تكتاشفات الثغرة أو تنشرات التحديثات ما مذكورينش فالإعلان (advisory).
• ماواضحش واش كاينين نسخ خرى ديال Apache HTTP Server من غير 2.4.66 متأثرة بهاد المشكل.
• الإعلان ماكيعطيش تفاصيل دقيقة على المتطلبات التقنية الخاصة بتسريب المعلومات (information leak) باش يتحدد system() والـ offsets ديال scoreboard فسيناريوهات حقيقية.
• الاحتمالية والوقت الكافي باش ينجح الاستغلال بـ heap spray فبيئة الإنتاج فظروف خارج المختبر مازال ما محددينش.

المصدر

Critical Apache HTTP/2 Flaw (CVE-2026-23918) Enables DoS and Potential RCE