⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Apache Software Foundation (ASF) lançou atualizações de segurança para solucionar diversas vulnerabilidades de segurança no servidor HTTP, incluindo uma vulnerabilidade grave que pode levar à execução remota de código (RCE).
A vulnerabilidade, rastreada como CVE-2026-23918 (pontuação CVSS: 8,8), foi descrita como um caso de “RCE duplo livre e possível” no tratamento do protocolo HTTP/2. Este problema afeta o Apache HTTP Server 2.4.66 e foi resolvido na versão 2.4.67.
O cofundador do Striga.ai, Bartlomiej Dmitruk, e o pesquisador do ISEC.pl, Stanislaw Strzalkowski, foram creditados por descobrir e relatar a vulnerabilidade.
Quando contatado para comentar, Dmitruk disse ao The Hacker News por e-mail que a gravidade do CVE-2026-23918 é crítica, pois pode ser explorada para obter negação de serviço (DoS) e RCE. Detalhes adicionais da vulnerabilidade estão abaixo –
CVE-2026-23918 é uma liberação dupla no Apache httpd 2.4.66 mod_http2, especificamente no caminho de limpeza de fluxo de h2_mplx.c. O bug é acionado quando um cliente envia um quadro HTTP/2 HEADERS imediatamente seguido por RST_STREAM com um código de erro diferente de zero no mesmo fluxo, antes que o multiplexador tenha registrado o fluxo.
Dois retornos de chamada nghttp2 são acionados em sequência, on_frame_recv_cb para o RST e on_stream_close_cb para o fechamento, e ambos acabam chamando h2_mplx_c1_client_rst -> m_stream_cleanup, que envia o mesmo ponteiro h2_stream para a matriz de limpeza spurge duas vezes. Quando c1_purge_streams posteriormente itera spurge e chama h2_stream_destroy -> apr_pool_destroy em cada entrada, a segunda chamada atinge a memória que já foi liberada.
O DoS, acrescentou Dmitruk, é trivial e funciona em qualquer implantação padrão com mod_http2 e um MPM multithread, enquanto o caminho RCE requer um Apache Portable Runtime (APR) com o alocador mmap, que é o padrão em sistemas derivados do Debian e na imagem oficial do Docker httpd. Dmitruk explicou ainda -
A primeira é a negação de serviço, que é trivial: uma conexão TCP, dois quadros, nenhuma autenticação, nenhum cabeçalho especial, nenhuma URL específica e o trabalhador trava. O Apache o reaparece, mas todas as solicitações do trabalhador travado são descartadas e o padrão pode ser sustentado enquanto o invasor continuar enviando.
O segundo resultado é a execução remota de código, e construímos uma prova de conceito funcional em x86_64. A cadeia coloca uma estrutura h2_stream falsa no endereço virtual liberado por meio da reutilização mmap, aponta sua função de limpeza de pool para system() e usa a memória do placar do Apache como um contêiner estável para as estruturas falsas e a string de comando.
O placar fica em um endereço fixo durante a vida útil do servidor, mesmo com ASLR, que é o que torna o caminho RCE prático. As advertências usuais se aplicam: a exploração prática requer um vazamento de informações para system() e as compensações do placar, e o heap spray é probabilístico, mas em condições de laboratório a execução ocorre em minutos.
Dmitruk também destacou que o pré-garfo MPM não foi afetado pela falha. No entanto, o pesquisador alertou que a superfície de ataque é grande, já que o mod_http2 é fornecido em compilações padrão e o HTTP/2 é amplamente habilitado em implantações de produção. Tendo em conta a gravidade da falha, os utilizadores são aconselhados a aplicar as correções mais recentes para uma proteção ideal.
A vulnerabilidade, rastreada como CVE-2026-23918 (pontuação CVSS: 8,8), foi descrita como um caso de “RCE duplo livre e possível” no tratamento do protocolo HTTP/2. Este problema afeta o Apache HTTP Server 2.4.66 e foi resolvido na versão 2.4.67.
O cofundador do Striga.ai, Bartlomiej Dmitruk, e o pesquisador do ISEC.pl, Stanislaw Strzalkowski, foram creditados por descobrir e relatar a vulnerabilidade.
Quando contatado para comentar, Dmitruk disse ao The Hacker News por e-mail que a gravidade do CVE-2026-23918 é crítica, pois pode ser explorada para obter negação de serviço (DoS) e RCE. Detalhes adicionais da vulnerabilidade estão abaixo –
CVE-2026-23918 é uma liberação dupla no Apache httpd 2.4.66 mod_http2, especificamente no caminho de limpeza de fluxo de h2_mplx.c. O bug é acionado quando um cliente envia um quadro HTTP/2 HEADERS imediatamente seguido por RST_STREAM com um código de erro diferente de zero no mesmo fluxo, antes que o multiplexador tenha registrado o fluxo.
Dois retornos de chamada nghttp2 são acionados em sequência, on_frame_recv_cb para o RST e on_stream_close_cb para o fechamento, e ambos acabam chamando h2_mplx_c1_client_rst -> m_stream_cleanup, que envia o mesmo ponteiro h2_stream para a matriz de limpeza spurge duas vezes. Quando c1_purge_streams posteriormente itera spurge e chama h2_stream_destroy -> apr_pool_destroy em cada entrada, a segunda chamada atinge a memória que já foi liberada.
O DoS, acrescentou Dmitruk, é trivial e funciona em qualquer implantação padrão com mod_http2 e um MPM multithread, enquanto o caminho RCE requer um Apache Portable Runtime (APR) com o alocador mmap, que é o padrão em sistemas derivados do Debian e na imagem oficial do Docker httpd. Dmitruk explicou ainda -
A primeira é a negação de serviço, que é trivial: uma conexão TCP, dois quadros, nenhuma autenticação, nenhum cabeçalho especial, nenhuma URL específica e o trabalhador trava. O Apache o reaparece, mas todas as solicitações do trabalhador travado são descartadas e o padrão pode ser sustentado enquanto o invasor continuar enviando.
O segundo resultado é a execução remota de código, e construímos uma prova de conceito funcional em x86_64. A cadeia coloca uma estrutura h2_stream falsa no endereço virtual liberado por meio da reutilização mmap, aponta sua função de limpeza de pool para system() e usa a memória do placar do Apache como um contêiner estável para as estruturas falsas e a string de comando.
O placar fica em um endereço fixo durante a vida útil do servidor, mesmo com ASLR, que é o que torna o caminho RCE prático. As advertências usuais se aplicam: a exploração prática requer um vazamento de informações para system() e as compensações do placar, e o heap spray é probabilístico, mas em condições de laboratório a execução ocorre em minutos.
Dmitruk também destacou que o pré-garfo MPM não foi afetado pela falha. No entanto, o pesquisador alertou que a superfície de ataque é grande, já que o mod_http2 é fornecido em compilações padrão e o HTTP/2 é amplamente habilitado em implantações de produção. Tendo em conta a gravidade da falha, os utilizadores são aconselhados a aplicar as correções mais recentes para uma proteção ideal.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #crítica #do #apache #http/2 #(cve202623918) #permite #dos #e #rce #potencial
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário