Apache HTTP Server Sicherheitslücken 2026: Sofortmaßnahmen für CVE-2026-23918 und weitere

Apache HTTP Server: Hochriskante Lücken ermöglichen Einschleusen von Schadcode – Sofort handeln

Apache HTTP Server 2.4.67 schließt 11 Sicherheitslücken – 5 davon hochriskant mit RCE-Potenzial. Wer jetzt nicht patcht, riskiert die vollständige Kompromittierung seines Webservers.

07.05.2026

Doğan Ucar
Doğan Uçar
Geschäftsführer

Der Apache HTTP Server ist der meistgenutzte Webserver weltweit – und er hat ein ernstes Sicherheitsproblem. Mit der Veröffentlichung von Apache HTTP Server 2.4.67 wurden elf Sicherheitslücken geschlossen, davon fünf mit hohem Risiko. Darunter befinden sich Schwachstellen, die Remote Code Execution (RCE) und Privilegieneskalation ermöglichen. Wer Apache noch nicht aktualisiert hat, setzt seine Systeme einem erheblichen Angriffs­risiko aus.

Was ist passiert?

Das Apache-Projekt hat mit Version 2.4.67 einen umfangreichen Sicherheitspatch veröffentlicht. Die Schwachstellen betreffen verschiedene Module des Webservers und können von Angreifern genutzt werden, um beliebigen Schadcode auszuführen, Privilegien zu eskalieren oder Dienste zum Absturz zu bringen. Betroffen sind alle Apache-HTTP-Server-Installationen unterhalb von Version 2.4.67.

Die hochriskanten Schwachstellen im Überblick

Fünf der elf Lücken wurden als hochriskant eingestuft:

CVE Beschreibung CVSS Modul/Bereich
CVE-2026-23918 Double Free – mögliche Remote Code Execution über HTTP/2 8.8 HTTP/2-Protokoll
CVE-2026-24072 Privilegieneskalation in verschiedenen Modulen 8.8 Mehrere Module
CVE-2026-29169 NULL Pointer Dereference – Absturz des Dienstes möglich 7.5 mod_dav_lock
CVE-2026-34059 Buffer Over-read – Auslesen sensibler Speicher­bereiche 7.5 Core
CVE-2026-29168 Unkontrollierte Ressourcen­zuweisung – DoS-Angriff möglich 7.3 mod_md

Besonders kritisch: Remote Code Execution über HTTP/2

Die gefährlichste Schwachstelle ist CVE-2026-23918 mit einem CVSS-Score von 8.8. Ein Double-Free-Fehler im HTTP/2-Handler kann von einem Angreifer aus der Ferne ausgenutzt werden, um beliebigen Code auf dem Serversystem auszuführen. Das bedeutet im Klartext: Ein erfolgreicher Angriff gibt dem Angreifer die vollständige Kontrolle über den Webserver – und damit potenziell über alle darauf laufenden Anwendungen und Daten.

Ebenso gefährlich ist CVE-2026-24072: Durch Ausnutzung dieser Privilegieneskalation kann ein lokaler Angreifer oder ein kompromittierter Prozess erhöhte Rechte erlangen und so tiefer in das System eindringen.

Mittlere Risiken: Weitere sechs Schwachstellen

Neben den hochriskanten Lücken wurden weitere sechs Schwachstellen mit mittlerem Risiko (CVSS 4.8–6.5) behoben, darunter:

  • CVE-2026-33523: HTTP Response Splitting (CVSS 6.5) – ermöglicht Cache-Poisoning und Cross-Site-Scripting-Angriffe
  • CVE-2026-33007 & CVE-2026-34032: NULL-Pointer-Dereferences in mod_authn_socache und weiteren Modulen (CVSS 5.3)
  • CVE-2026-33857: Out-of-bounds Read in mod_proxy_ajp (CVSS 5.3)
  • CVE-2026-33006: Timing-Angriff gegen mod_auth_digest (CVSS 4.8)
  • CVE-2026-28780: Heap-basierter Buffer-Overflow in mod_proxy_ajp

Bin ich betroffen?

Wenn Sie Apache HTTP Server in einer Version vor 2.4.67 betreiben, sind Sie betroffen. Das gilt für:

  • Eigene Server und VMs mit Apache-Installation
  • Shared-Hosting-Umgebungen (hier ist der Hoster in der Pflicht)
  • Container-Images, die auf älteren Apache-Versionen basieren
  • Alle Anwendungen, die Apache als Reverse Proxy oder als direkten Webserver nutzen

Prüfen Sie Ihre Apache-Version mit: apache2 -v bzw. httpd -v

Was müssen Sie jetzt tun?

Die Maßnahme ist klar und eindeutig: Sofortiges Update auf Apache HTTP Server 2.4.67.

Schritt 1: Version prüfen

Überprüfen Sie auf allen Systemen die installierte Apache-Version. Auf Linux-Systemen genügt ein einfacher Befehl im Terminal.

Schritt 2: Update einspielen

Spielen Sie das Update über den jeweiligen Paketmanager Ihrer Distribution ein (z. B. apt upgrade apache2 auf Debian/Ubuntu oder yum update httpd auf RHEL/CentOS) oder laden Sie die aktuelle Version direkt von der offiziellen Apache Security-Seite herunter.

Schritt 3: Dienst neu starten und Funktionsfähigkeit prüfen

Nach dem Update muss Apache neu gestartet werden. Testen Sie anschließend alle kritischen Funktionen Ihrer Webanwendungen, um sicherzustellen, dass das Update keine Kompatibilitätsprobleme verursacht hat.

Schritt 4: Monitoring aktivieren

Richten Sie ein Monitoring ein, das Sie bei zukünftigen Sicherheits­updates automatisch benachrichtigt. Das Apache-Projekt veröffentlicht Sicherheits­advisories auf der offiziellen Apache HTTP Server Security-Seite.

Warum schnelles Handeln entscheidend ist

Sicherheitslücken in weit verbreiteter Software wie Apache werden nach der Veröffentlichung eines Patches aktiv von Angreifern ausgenutzt – oft innerhalb von Stunden. Exploit-Entwickler analysieren Patches, um die geschlossenen Lücken zu rekonstruieren und gezielt gegen ungepatchte Systeme einzusetzen. Jede Stunde, die ein ungepatchter Apache-Server online ist, erhöht das Risiko einer Kompromittierung.

Für Unternehmen bedeutet ein kompromittierter Webserver nicht nur Datenverlust, sondern auch Reputationsschäden, Haftungsrisiken gemäß DSGVO und potenzielle Betriebsunterbrechungen.

Benötigen Sie Unterstützung?

Als IT-Sicherheitsexperten helfen wir Ihnen, Ihre Server-Infrastruktur schnell und zuverlässig auf den aktuellen Stand zu bringen. Wir übernehmen:

  • Inventarisierung und Prüfung aller Apache-Instanzen in Ihrer Umgebung
  • Sicheres Update-Management mit vorherigem Backup und Rollback-Plan
  • Konfigurationsprüfung auf weitere Sicherheitsschwachstellen
  • Einrichtung eines dauerhaften Schwachstellen-Monitorings
  • Durchführung eines vollständigen IT-Sicherheits-Reviews Ihrer Infrastruktur
Jetzt Anfragen!

Weiterführende Links