Apache CVE-2026-23918 und 24072: gepatcht, LiteSpeed nicht angreifbar
Zwei Apache-Sicherheitslücken (CVE-2026-23918, CVE-2026-24072) sind auf den meisten rack::SPEED-Servern gepatcht. CloudLinux-Hosting läuft auf LiteSpeed.
Die am 5. Mai 2026 vom Apache-Projekt veröffentlichten Sicherheitslücken CVE-2026-23918 (HTTP/2 Double-Free, CVSS 8,8) und CVE-2026-24072 (mod_rewrite Privilege Escalation) wurden auf dem überwiegenden Teil unserer Server in der Nacht zum 6. Mai gepatcht. Die CloudLinux-Hostingmaschinen laufen über LiteSpeed und sind während des laufenden Updates nicht direkt angreifbar.
Was die Lücken machen
Beide Lücken sitzen in Apache HTTP Server 2.4.66 und älter und sind mit Apache 2.4.67 behoben.
- CVE-2026-23918 — Double-Free im HTTP/2-Code (
mod_http2). Der Bug schlägt zu, wenn ein Client einen HEADERS-Frame direkt gefolgt von einem RST_STREAM mit Non-Zero-Error-Code auf demselben Stream sendet, bevor der Multiplexer den Stream registriert hat. Folge: Heap-Korruption, in der Theorie mit Pfad zur Code-Ausführung. CVSS 8,8 (hoch), bislang keine bestätigte Ausnutzung in freier Wildbahn (Stand 5. Mai 2026). - CVE-2026-24072 — Privilege Escalation in
mod_rewrite. Wer Schreibrechte auf eine.htaccesshat, kann eine Rewrite-Expression so basteln, dass derhttpd-Prozess Dateien außerhalb des eigenen Account-Verzeichnisses liest — mit den Rechten deshttpd-Users. In Shared-Hosting-Umgebungen heißt das: ein Account könnte Inhalte benachbarter Accounts auf der gleichen Maschine ausspähen, sofern das Ziel-Verzeichnis fürhttpdlesbar ist.
Hintergrund und die offiziellen Patches stehen direkt beim Apache-Projekt bereit. Eine kompakte Einordnung gibt es bei The Hacker News.
Was wir konkret getan haben
Auf den meisten Servern ist Apache 2.4.67 in der Nacht zum 6. Mai eingespielt. Das lief parallel zur gestrigen Exim-Patch-Welle, beide Updates sind sich nicht in die Quere gekommen.
Auf den CloudLinux-Maschinen läuft das Update aktuell noch — die CloudLinux-Mirror sind wegen der parallelen Patch-Welle deutlich überlastet, einzelne Server brauchen entsprechend länger als gewohnt. Wir ziehen das im Tagesverlauf nach, sobald die Pakete verfügbar werden.
Wichtig zur Einordnung: Auf den CloudLinux-Hostingplattformen ist nicht Apache, sondern LiteSpeed der aktiv ausliefernde Webserver. Beide CVEs sitzen in Apache-Code (mod_http2, mod_rewrite-Engine) und sind in LiteSpeed nicht enthalten — die Maschinen sind während der laufenden Update-Phase nicht direkt über die offenen Web-Ports angreifbar. Apache wird trotzdem aktualisiert, weil cPanel ihn als möglichen Fallback-Webserver installiert hält und wir unsere Stacks vollständig auf den Patch-Stand bringen.
Was du selbst tun solltest
Aktiv tun musst du nichts. Wer auf einem rack::SPEED Managed-Hosting-Server ist, hat den Patch entweder bereits oder bekommt ihn im Laufe des Tages, sobald die Mirror-Engpässe sich auflösen.
Wer einen eigenen Managed Server mit Apache betreibt, kann den Patch-Stand selbst prüfen — die Zielversion ist httpd-2.4.67. Sonst ein Ticket bei uns aufmachen, wir ziehen das nach.
Plesk-Kunden mit Apache bekommen den Patch über das reguläre System-Update (nicht über den CloudLinux-Mirror, also unabhängig vom aktuellen Engpass). Wer auf Plesk nginx als aktiven Webserver konfiguriert hat, ist von beiden CVEs ohnehin nicht betroffen.
Bei Rückfragen, Log-Reviews oder Patch-Hilfe erreichst du uns telefonisch unter +49 (0)2102 305 84 30 oder über das Kontaktformular. Den Live-Status unserer Plattform pflegen wir auf der rack::SPEED Status-Page.
Vier kritische Patches in einer guten Woche — cPanel-Zero-Day Ende April, Copy-Fail im Kernel direkt danach, gestern Abend Exim, heute Nacht Apache. Der Mai 2026 fängt sportlich an.