Morten Lyhne Petersen
En allvarlig brist i en av världens mest spridda webbservrar låter obehöriga släcka ned eller ta över Apache-installationer.
Sårbarheten rättades i en uppdatering som släpptes den 4 maj 2026, och systemadministratörer över hela världen uppmanas uppdatera utan dröjsmål. Felet finns i version 2.4.66 av Apache HTTP Server, enligt projektets officiella säkerhetsadvisering.
CVE-numret 2026-23918 har fått poängen 8,8 av 10 i USA:s nationella sårbarhetsdatabas NVD, vilket placerar bristen i kategorin hög risk. Den kan utnyttjas av en okänd angripare via internet utan inloggning.
Vad är HTTP/2 och varför spelar det roll
HTTP/2 är det protokoll som de flesta moderna webbplatser använder för att leverera sidor, bilder och filer till din webbläsare. Det löste hastighetsproblemen i föregångaren HTTP/1.1 genom att flera förfrågningar kan ske samtidigt över en enda anslutning.
Modulen mod_http2 hanterar protokollet i Apache HTTP Server, en av de mest använda webbservrarna i världen. Den driver allt från personliga bloggar till företag och myndigheter, också i Sverige.
Två paket räcker för att krascha en server
Bristen är en så kallad double-free, det vill säga att samma minnesområde frigörs två gånger, vilket korrumperar serverns minne. Felet uppstår i streamhanteringskoden h2_mplx.c i mod_http2.
En angripare behöver bara skicka två särskilt utformade HTTP/2-paket, ett HEADERS-paket följt av en RST_STREAM med en felkod, för att framkalla felet. En enda TCP-anslutning räcker, och inga inloggningsuppgifter behövs.
I de flesta fall leder angreppet till att Apache-processen kraschar. Men i vissa konfigurationer kan bristen i förlängningen ge angriparen möjlighet att köra egen kod på servern. Den allvarligare RCE-vägen, fjärrkodkörning, kräver att Apache använder minneshanteraren mmap, vilket är standard på Debian-baserade Linux-distributioner och i Apaches officiella Docker-bild.
Polska forskare bakom upptäckten
Felet hittades av Bartłomiej Dmitruk och Stanisław Strzałkowski från de polska säkerhetsfirmorna Striga.ai och ISEC.pl. De rapporterade bristen till Apache Software Foundation den 10 december 2025, och en rättning fanns i projektets källkod redan dagen efter. Den offentliga släppningen av version 2.4.67 dröjde dock nästan fem månader.
Säkerhetsteamet vid University of California, Berkeley beskriver bristen som en kritisk double-free-sårbarhet i Apaches HTTP/2-modul som är sårbar för oautentiserad fjärrkodkörning och tjänsteförhindrande angrepp.
Så skyddar du dig som användare
Som vanlig surfare behöver du inte göra något själv. Ansvaret ligger hos den som driver respektive webbplats. Men om en tjänst du använder plötsligt är otillgänglig de kommande veckorna, eller om du nås av meddelanden om dataincidenter, kan det röra sig om servrar som inte hann uppdateras i tid.
För den som driver en webbplats eller en serverpark gäller tre prioriteringar:
– Uppdatera Apache HTTP Server till version 2.4.67 omedelbart – Om en uppdatering inte är möjlig på kort sikt, stäng av HTTP/2 i konfigurationen som tillfällig åtgärd – Kontrollera om servern kör i Docker eller på en Debian-baserad distribution, dessa miljöer är utsatta för den allvarligare fjärrkodkörningsvarianten
Felet påverkar enbart konfigurationer med flertrådad MPM, alltså worker eller event. Apache-installationer med prefork-MPM är inte sårbara, men de utgör en liten minoritet av moderna produktionsservrar.
