Elf Sicherheitslücken in Apache HTTP Server geschlossen, fünf als hochriskant eingestuft

KI-Zusammenfassung

Das Apache-HTTP-Server-Projekt hat mit Version 2.4.67 elf Sicherheitslücken geschlossen, darunter fünf als hochriskant eingestufte Schwachstellen. Zwei davon verfehlten eine Einstufung als kritisch nur knapp. Die gravierendsten Lücken ermöglichen Angreifern das Einschleusen und Ausführen von Schadcode. Darunter fallen eine Double-Free-Schwachstelle mit möglicher Remote Code Execution über das HTTP/2-Protokoll (CVE-2026-23918, CVSS 8.8) sowie eine Rechteausweitung in verschiedenen Modulen (CVE-2026-24072, CVSS 8.8). Weitere hochriskante Fehler umfassen eine NULL-Pointer-Dereferenzierung in mod_dav_lock (CVE-2026-29169, CVSS 7,5), eine Buffer-Over-read-Lücke (CVE-2026-34059, CVSS 7,5) und eine Ressourcenallokation ohne Begrenzung in mod_md (CVE-2026-29168, CVSS 7,3). Zusätzlich wurden sechs weitere Schwachstellen mittleren Schweregrads behoben, darunter HTTP-Response-Splitting (CVE-2026-33523, CVSS 6,5) und mehrere Out-of-bounds-Read-Fehler. Administratoren sollten das Update umgehend einspielen.