أصدرت مؤسسة Apache Software Foundation (ASF) تحديثًا أمنيًا لمعالجة عدة ثغرات في خادم الويب الشهير Apache HTTP Server، من بينها ثغرة حرجة تحمل الرمز CVE-2026-23918، والتي وُصفت بأنها حالة “double free” قد تؤدي إلى هجمات حجب الخدمة (DoS) أو حتى تنفيذ أوامر عن بُعد (RCE). الثغرة تؤثر على الإصدار 2.4.66 وتم إصلاحها في الإصدار 2.4.67.
تفاصيل الثغرة التقنية
الثغرة تقع في وحدة mod_http2، وتحديدًا في مسار تنظيف التدفقات داخل الملف h2_mplx.c. يتم تفعيلها عندما يرسل العميل إطار HEADERS متبوعًا مباشرة بإطار RST_STREAM يحمل رمز خطأ غير صفري على نفس التدفق، قبل أن يقوم الموزع بتسجيله. هذا التسلسل يؤدي إلى استدعاء دالتين متتاليتين (on_frame_recv_cb وon_stream_close_cb) واللتين تنفذان عملية تنظيف مزدوجة لنفس المؤشر، ما يؤدي إلى تحرير الذاكرة مرتين. النتيجة هي إمكانية استغلال الخلل لإحداث انهيار في الخدمة أو إعادة استخدام الذاكرة لتنفيذ أوامر خبيثة.
خطورة الهجوم وإمكانية الاستغلال
الباحثان Bartlomiej Dmitruk (مؤسس Striga.ai) وStanislaw Strzalkowski (من ISEC.pl) هما من اكتشفا الثغرة. وأوضح Dmitruk أن الهجوم يمكن أن يأخذ شكلين:
- هجوم حجب الخدمة (DoS): سهل التنفيذ، يتطلب اتصال TCP واحدًا وإطارين فقط، دون مصادقة أو إعدادات خاصة، ما يؤدي إلى انهيار العامل (worker) وإسقاط الطلبات.
- تنفيذ أوامر عن بُعد (RCE): أكثر تعقيدًا، ويعتمد على بيئة تشغيل Apache Portable Runtime (APR) باستخدام مخصص الذاكرة mmap، وهو الإعداد الافتراضي في توزيعات Debian وصورة Docker الرسمية لـ Apache. في بيئة اختبارية، تمكن الباحثون من بناء إثبات مفهوم ناجح على معمارية x86_64، حيث تم حقن هيكل مزيف يشير إلى دالة system() لتنفيذ أوامر مباشرة.
نطاق التأثير والتحذيرات
الثغرة لا تؤثر على نمط التشغيل MPM prefork، لكنها تؤثر على الإعدادات الافتراضية التي تعتمد على mod_http2 في معظم عمليات النشر الإنتاجية. هذا يجعل سطح الهجوم واسعًا، خاصة أن بروتوكول HTTP/2 أصبح مفعّلًا بشكل افتراضي في الكثير من الخوادم الحديثة. الباحثون حذروا من أن الاستغلال العملي يتطلب تسريب معلومات إضافية مثل عناوين دالة system() وإزاحات الذاكرة، لكن في ظروف مخبرية يمكن تحقيق التنفيذ خلال دقائق.
توصيات أمنية
في ضوء خطورة الثغرة، أوصت مؤسسة Apache جميع المستخدمين بتحديث خوادمهم إلى الإصدار 2.4.67 فورًا، وإجراء مراجعات أمنية للتأكد من عدم وجود استغلال نشط. كما شددت على أن هذه الثغرة تُظهر أهمية متابعة التحديثات الأمنية بشكل دوري، خاصة في البرمجيات مفتوحة المصدر التي تشكل العمود الفقري للبنية التحتية الرقمية العالمية.
