Dunia keamanan siber kembali dikejutkan dengan penemuan kerentanan kritis pada Apache HTTP Server. Celah keamanan yang dilacak sebagai CVE-2026-23918 ini mengincar protokol HTTP/2, yang secara luas digunakan untuk mempercepat pengiriman konten di internet. Kerentanan ini tidak hanya berisiko melumpuhkan layanan melalui serangan Denial-of-Service (DoS), tetapi juga berpotensi memungkinkan peretas menjalankan kode jarak jauh (RCE).
Apache Software Foundation baru-baru ini merilis pembaruan keamanan penting untuk mengatasi beberapa kerentanan pada Apache HTTP Server. Fokus utama tertuju pada CVE-2026-23918, sebuah celah keamanan dengan skor CVSS 8.8, yang dikategorikan memiliki tingkat risiko tinggi bagi infrastruktur perusahaan global.
Masalah ini berakar pada cacat korupsi memori yang dikenal sebagai double-free pada komponen mod_http2 milik Apache. Secara teknis, masalah ini muncul selama proses pembersihan (cleanup) aliran data HTTP/2.
Penyerang dapat mengeksploitasi celah ini dengan mengirimkan urutan frame HTTP/2 tertentu, yaitu:
Mengirimkan frame HEADERS HTTP/2.
Diikuti segera oleh frame RST_STREAM dengan kode kesalahan non-nol.
Urutan ini memaksa Apache melakukan pembersihan memori sebanyak dua kali untuk objek yang sama, yang menyebabkan korupsi memori. Dampaknya adalah:
DoS (Denial-of-Service): Server dapat mengalami crash dan berhenti beroperasi.
RCE (Remote Code Execution): Dalam kondisi tertentu, peretas dapat memanfaatkan korupsi memori ini untuk menjalankan perintah atau kode berbahaya di server secara jarak jauh.
Kerentanan ini terutama berdampak pada server yang menggunakan:
Modul mod_http2.
Konfigurasi MPM (Multi-Processing Module) multi-thread.
Lingkungan alokasi memori APR mmap.
Laporan menyebutkan bahwa sistem berbasis Debian dan citra Docker resmi untuk Apache HTTP Server sangat terpapar risiko ini karena perilaku alokasi memori default mereka. Namun, kabar baiknya adalah model MPM prefork dilaporkan tidak terdampak oleh masalah ini.
Apache HTTP Server menguasai sebagian besar ekosistem web global. Karena protokol HTTP/2 biasanya diaktifkan secara default pada banyak deployment Apache modern, permukaan serangan (attack surface) menjadi sangat luas.
Bagi CISO dan pemimpin infrastruktur TI, insiden ini menegaskan bahwa infrastruktur berbasis open-source tetap menjadi target utama karena integrasinya yang mendalam di lingkungan produksi. Eksploitasi terhadap infrastruktur dasar seperti ini dapat menyebabkan gangguan operasional berskala besar dengan interaksi penyerang yang minimal.
Para ahli keamanan menyarankan langkah-langkah darurat berikut:
Segera Lakukan Patching: Perbarui Apache HTTP Server Anda dari versi 2.4.66 ke versi 2.4.67 atau yang terbaru.
Audit Konfigurasi HTTP/2: Identifikasi lingkungan di mana mod_http2 diaktifkan dan nilai kembali apakah protokol tersebut benar-benar diperlukan untuk semua sistem.
Prioritaskan Aset yang Menghadap Publik: Fokuskan upaya perbaikan pada sistem yang dapat diakses dari internet, beban kerja berbasis kontainer, dan infrastruktur produksi di cloud.
Tingkatkan Monitoring: Pantau pola lalu lintas HTTP/2 yang tidak normal, aktivitas stream reset yang berulang, atau kegagalan worker yang mendadak.
Penemuan CVE-2026-23918 menjadi pengingat bagi organisasi untuk tidak hanya mengandalkan siklus patching reaktif. Dibutuhkan tata kelola perangkat lunak open-source yang lebih ketat dan visibilitas infrastruktur secara real-time untuk menghadapi ancaman yang terus berevolusi pada lapisan protokol internet modern.