أصدرت مؤسسة برامج أباتشي (ASF) تحديثات أمنية لمعالجة عدد من الثغرات الأمنية في خادم HTTP، بما في ذلك ثغرة خطيرة قد تؤدي إلى تنفيذ تعليمات برمجية عن بعد. تُعد هذه التحديثات ضرورية لحماية الخوادم من الهجمات السيبرانية.
الثغرة، التي تحمل المعرف CVE-2026-23918 وبتقييم خطورة 8.8، وُصفت بأنها حالة “تحرير مزدوج وإمكانية تنفيذ تعليمات برمجية عن بعد” في معالجة بروتوكول HTTP/2. وتؤثر هذه المشكلة على إصدار Apache HTTP Server 2.4.66، وقد تم معالجتها في الإصدار 2.4.67.
وقد تم نسب الفضل في اكتشاف الثغرة والإبلاغ عنها إلى بارتلوميج ديمترك، المشارك في تأسيس Striga.ai، وستانيسلاف سترزالكوفسكي، الباحث في ISEC.pl.
أباتشي HTTP Server: الثغرة الأمنية وتأثيرها
وفقاً لتصريحات ديمترك، فإن خطورة الثغرة CVE-2026-23918 تكمن في قدرتها على استغلالها لإحداث رفض للخدمة (DoS) وتنفيذ التعليمات البرمجية عن بعد (RCE). هذه الثغرات قد تهدد استمرارية توفر الخدمات وتسمح للمهاجمين بالسيطرة على الأنظمة.
تحدث هذه الثغرة الأمنية الخطيرة في بروتوكول HTTP/2 عند إرسال إطار HEADERS متبوعاً مباشرة بإطار RST_STREAM مع رمز خطأ غير صفري على نفس المسار، وذلك قبل أن يتم تسجيل المسار بواسطة نظام تعدد الإرسال. ويؤدي ذلك إلى استدعاء دالتين متتاليتين، مما يسبب تحرير الذاكرة المخصصة للمسار مرتين، وتؤدي الاستدعاءات اللاحقة إلى الوصول إلى ذاكرة تم تحريرها بالفعل.
تأثيرات الثغرة: رفض الخدمة وتنفيذ التعليمات البرمجية
أكد ديمترك أن آلية رفض الخدمة تعتبر بسيطة للغاية، حيث يمكن استغلالها عبر اتصال TCP واحد وإطارين، دون الحاجة إلى مصادقة أو رؤوس خاصة أو عناوين URL محددة. وينتج عن ذلك تعطل الخادم، مما يتسبب في إسقاط الطلبات الواردة.
أما فيما يتعلق بتنفيذ التعليمات البرمجية عن بعد، فيتطلب ذلك استخدام Apache Portable Runtime (APR) مع مخصص الذاكرة mmap، وهو الإعداد الافتراضي في أنظمة Debian و Docker. وقد قام الباحثون ببناء نموذج أولي ناجح لتنفيذ التعليمات البرمجية عن بعد على معمارية x86_64.
تعتمد إمكانية استغلال الثغرة للتنفيذ عن بعد على تسريب معلومات تسمح بتحديد العنوان الرمزي لنظام التشغيل (system()) وإزاحات لوحة النتائج (scoreboard offsets). وعلى الرغم من أن حقن الذاكرة عبر تعديلها ليس مضموناً بنسبة 100%، إلا أن الظروف المختبرية أثبتت إمكانية استغلالها خلال دقائق.
تجدر الإشارة إلى أن آلية MPM prefork لا تتأثر بهذه الثغرة. ومع ذلك، يحذر الباحثون من أن سطح الهجوم واسع، حيث يأتي بروتوكول HTTP/2 مفعلاً بشكل افتراضي في العديد من التوزيعات، ويتم استخدامه بشكل شائع في البيئات الإنتاجية. ولذا، يُنصح بشدة بتطبيق أحدث التصحيحات الأمنية لضمان الحماية المثلى.