Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 30.05.2026 · 2 min Lesezeit

Apache HTTP Server 2.4.67: Elf Lücken geschlossen, fünf davon hochkritisch

Mit Version 2.4.67 schliesst die Apache Software Foundation elf Sicherheitslücken im weit verbreiteten Webserver. Fünf gelten als hochkritisch, eine erlaubt Remote Code Execution via HTTP/2.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Rechenzentrum mit beleuchteten Server-Reihen symbolisiert globale IT-Investitionen 2026

Die Apache Software Foundation hat den HTTP Server auf Version 2.4.67 aktualisiert und schliesst damit elf Sicherheitslücken. Fünf davon stuft das Projekt als hochkritisch ein, zwei verfehlen die Kritikalitäts-Stufe nur knapp. Mit dabei: eine moegliche Remote-Code-Execution ueber HTTP/2 (CVE-2026-23918), die jeden produktiv eingesetzten Webserver mit HTTP/2-Unterstützung trifft.

Die Liste der Schwachstellen ist breit: Neben dem HTTP/2-Double-Free hat das Apache-Team eine Privilege-Escalation (CVE-2026-24072), eine NULL-Pointer-Dereferenz in mod_dav_lock (CVE-2026-29169) und einen Buffer-Over-Read (CVE-2026-34059) korrigiert. WebDAV-Setups, Reverse-Proxy-Konstellationen vor PHP-Anwendungen und klassische LAMP-Stacks sind damit gleichermassen im Visier. Wer Apache als Frontend vor WordPress-, Joomla- oder Symfony-Installationen betreibt, sollte das Update zur Pflicht erklären.

Erschwerend kommt hinzu, dass Apache in vielen Standard-Distributionen nicht mit der neüsten Upstream-Version mitläuft. Debian, Ubuntu LTS und RHEL backporten die Patches in eigene Pakete – die Versionsnummer ändert sich dort nicht zwingend auf 2.4.67. Wer die Aktualisierung beurteilen will, muss daher den Hersteller-Changelog oder das Security-Advisory der Distribution lesen, statt sich auf httpd -v zu verlassen.

Was Admins jetzt tun sollten

  1. Apache 2.4.67 oder ein vom Distributor zurückportiertes gepatchtes Paket auf allen exponierten Webservern einspielen, Reboot bzw. Reload nicht vergessen.
  2. HTTP/2 nicht reflexartig deaktivieren, aber als Notfall-Option vorbereiten – bei Hinweisen auf Angriffsversuche kurzfristig auf HTTP/1.1 zurückschalten.
  3. mod_dav und mod_dav_lock dort deaktivieren, wo WebDAV nicht aktiv genutzt wird; reduziert die Angriffsfläche daürhaft.
  4. Konfigurationsdateien auf eingeschleuste Location- oder Alias-Blöcke prüfen und über File Integrity Monitoring absichern.
  5. Bei Shared-Hosting oder Containern: Image-Basis aktualisieren und CI/CD-Pipelines neu durchlaufen lassen, damit die Patches in die produktiven Container kommen.

Im DACH-Mittelstand bildet Apache nach wie vor das Rückgrat vieler Hosting-Setups – haeufig in Kombination mit PHP-FPM, MariaDB und WordPress-Installationen. Wer Root-Server oder VPS bei einem Anbieter wie Netcup betreibt, kann den Patch-Slot direkt mit einem Konfigurations-Review verbinden. Veraltete mod_*-Module, ungenutzte VirtualHosts und vergessene WebDAV-Endpunkte sind die typischen Fundstellen bei einem solchen Audit.

Mehr aus der Kategorie Server & Netzwerk: News aus der Kategorie Netzwerk

Quelle: heise online – Apache HTTP Server: Highly critical flaws allow malicious code injection.

Verwandt

Weiter lesen

Alle Artikel →
Netzwerkkabel in einem Rack stehen stellvertretend fuer Nginx-Webserver und Reverse-Proxy-Infrastruktur
29.05.2026 ·2 min

Nginx-DoS-Luecke wird aktiv ausgenutzt: Patch in der Rewrite-Engine

Eine Schwachstelle in der Rewrite-Engine von Nginx kann Worker-Prozesse zum Absturz bringen. Heise meldet aktive Angriffe, Betreiber sollten auf den aktuellen Stable-Zweig aktualisieren.
Server-Rack im Rechenzentrum – Symbolbild für Windows-Server-Domänencontroller
28.05.2026 ·6 min

Mini-Home-Server mit Unraid bauen: DIY-NAS mit vier Festplatten – Schritt-für-Schritt-Anleitung

Ein eigener Mini-Home-Server mit Unraid ist die flexible Alternative zum fertigen NAS: vier Festplatten, eine als Parity, dazu Container und VMs auf einer Box. Diese Anleitung zeigt drei Hardware-Builds in verschiedenen Preisklassen und führt Schritt für Schritt durch die Unraid-Installation.
Server-Rack im Rechenzentrum – Symbolbild für Windows-Server-Domänencontroller
28.05.2026 ·3 min

LiteSpeed cPanel-Plugin (CVE-2026-48172): Root-Exploit, CISA-Frist 29. Mai