Kerentanan Kritis Apache HTTP/2 CVE-2026-23918: Risiko DoS dan RCE

Apache Software Foundation (ASF) baru-baru ini merilis pembaruan keamanan penting untuk HTTP Server mereka guna menanggulangi beberapa kerentanan kritis, termasuk satu yang memungkinkan remote code execution (RCE) dan serangan denial-of-service (DoS).

Kerentanan Kritis CVE-2026-23918 pada Apache HTTP/2

Kerentanan yang diberi kode CVE-2026-23918 ini memiliki skor CVSS sebesar 8.8 dan merupakan masalah double free yang terjadi pada penanganan protokol HTTP/2 di Apache HTTP Server versi 2.4.66. Masalah ini telah diperbaiki pada versi 2.4.67.

Penemuan kerentanan ini dilakukan oleh Bartlomiej Dmitruk, co-founder Striga.ai, bersama peneliti dari ISEC.pl, Stanislaw Strzalkowski. Dalam wawancara melalui email dengan The Hacker News, Dmitruk menegaskan bahwa tingkat keparahan CVE-2026-23918 sangat kritis karena dapat dimanfaatkan untuk melakukan serangan DoS maupun RCE.

Detail Teknis Kerentanan

CVE-2026-23918 merupakan double-free pada modul mod_http2 Apache httpd 2.4.66, khususnya di jalur pembersihan stream pada file h2_mplx.c. Bug ini terjadi ketika klien mengirimkan frame HTTP/2 HEADERS yang langsung diikuti oleh RST_STREAM dengan kode error tidak nol pada stream yang sama, sebelum multiplexer mendaftarkan stream tersebut.

Secara teknis, dua callback dari nghttp2 akan dipanggil berurutan — on_frame_recv_cb untuk RST dan on_stream_close_cb untuk penutupan stream. Kedua callback ini memanggil fungsi h2_mplx_c1_client_rst yang kemudian menjalankan m_stream_cleanup, sehingga pointer ke h2_stream yang sama didorong dua kali ke dalam array pembersihan spurge. Ketika fungsi c1_purge_streams mengiterasi array ini dan memanggil fungsi h2_stream_destroy lalu apr_pool_destroy pada setiap entri, panggilan kedua akan mengakses memori yang sudah dibebaskan sebelumnya, menyebabkan kondisi double-free.

Dampak Serangan: DoS dan RCE

Dmitruk menjelaskan dua kemungkinan eksploitasi utama:

1. Denial of Service (DoS): Serangan ini sangat mudah dilakukan dengan satu koneksi TCP dan hanya dua frame, tanpa perlu autentikasi, header khusus, atau URL tertentu. Serangan ini menyebabkan pekerja Apache yang menangani permintaan tersebut langsung crash. Meskipun Apache akan memulai ulang pekerja, setiap permintaan yang datang pada pekerja yang crash akan gagal diproses. Serangan ini dapat dilakukan secara berulang dan terus-menerus untuk menimbulkan gangguan layanan.
2. Remote Code Execution (RCE): Eksploitasi ini lebih kompleks dan memerlukan Apache Portable Runtime (APR) dengan allocator mmap, yang merupakan konfigurasi default pada sistem berbasis Debian dan image resmi Docker HTTPD. Dmitruk dan timnya berhasil membuat bukti konsep yang berjalan di arsitektur x86_64 dengan menyisipkan struktur h2_stream palsu pada alamat memori yang sudah dibebaskan menggunakan mmap ulang, mengarahkan fungsi pembersih ke system(), dan memanfaatkan memori scoreboard Apache sebagai wadah stabil untuk struktur palsu dan perintah berbahaya.

Memori scoreboard terletak pada alamat tetap selama server berjalan, bahkan dengan Address Space Layout Randomization (ASLR), sehingga membuat jalur RCE menjadi praktis. Namun, eksploitasi ini masih memerlukan bocoran informasi untuk mengetahui lokasi system() dan offset scoreboard, serta teknik heap spray yang probabilistik. Dalam kondisi laboratorium, eksekusi kode berhasil dalam hitungan menit.

Rekomendasi dan Implikasi Keamanan

Dmitruk menambahkan bahwa modul MPM prefork tidak terpengaruh oleh kerentanan ini. Namun, karena mod_http2 biasanya disertakan pada build default Apache dan HTTP/2 banyak diaktifkan di lingkungan produksi, potensi serangan ini sangat luas.

• Pengguna Apache HTTP Server versi 2.4.66 sangat dianjurkan untuk segera meng-upgrade ke versi 2.4.67.
• Pastikan konfigurasi server memperhatikan penggunaan allocator APR dan modul HTTP/2.
• Perkuat monitoring dan sistem deteksi intrusi untuk mengantisipasi serangan DoS maupun indikasi RCE.

Informasi lengkap mengenai kerentanan ini dapat ditemukan pada sumber asli The Hacker News.

Analisis Redaksi

Menurut pandangan redaksi, penemuan dan pengungkapan kerentanan CVE-2026-23918 ini mengingatkan kita kembali akan pentingnya menjaga keamanan server web yang menjadi tulang punggung infrastruktur digital modern. Kerentanan ini tidak hanya menghadirkan risiko gangguan layanan, tetapi juga potensi pengambilalihan server secara jarak jauh yang bisa berujung pada pencurian data atau penyusupan lebih luas.

Hal yang kurang disorot publik adalah betapa mudahnya serangan DoS dapat dilakukan tanpa perlu autentikasi atau persyaratan khusus, yang berarti semua server dengan konfigurasi default sangat rentan. Sementara itu, jalur RCE yang rumit tetap menjadi ancaman serius bagi sistem berbasis Debian dan distribusi turunannya, serta kontainer Docker resmi yang menggunakan Apache HTTP Server.

Ke depan, para administrator sistem harus lebih waspada dan proaktif dalam menerapkan patch keamanan serta melakukan audit konfigurasi server secara berkala. Selain itu, komunitas pengembang Apache perlu terus meningkatkan ketahanan protokol HTTP/2 agar tidak lagi menjadi vektor serangan yang mudah dimanfaatkan. Pembaruan dan mitigasi keamanan harus menjadi prioritas utama untuk menghindari potensi serangan yang dapat merugikan jutaan pengguna internet di seluruh dunia.