Apache HTTP/2 더블프리 취약점(CVE-2026-23918) — 2.4.66을 쓴다면 지금 점검할 것
🤖 AI Summary
점유율 높은 웹서버 Apache HTTP Server에서 HTTP/2 처리 중 발생하는 더블프리 취약점 CVE-2026-23918이 공개됐습니다. 공식 제목은 "http2: double free and possible RCE on early reset"으로, HTTP/2 early reset을 처리하다 같은 메모리를 두 번 해제하면서 원격 코드 실행 가능성까지 거론됩니다(CWE-415). 짚어둘 점은 등급입니다. Apache 재단의 공식 등급은 important이고, CVSS 8.8(HIGH)은 NIST가 아니라 CISA-ADP가 산정한 값입니다(NIST 평가는 아직 미제공). 영향 버전은 2.4.66, 수정은 2.4.67(2026-05-04 릴리스)이며 공식 해법은 업그레이드입니다. 이 글에서는 사실관계를 1차 출처 기준으로 정리하고, 운영자가 노출 여부를 점검하는 순서를 안내합니다.
블로그 목차
무엇이 문제인가 — HTTP/2 early reset에서의 더블프리
이 취약점의 공식 설명은 짧고 분명합니다. Apache 보안 권고와 공개 메일의 문구를 그대로 옮기면 이렇습니다.
HTTP/2 프로토콜을 사용하는 Apache HTTP Server의 더블프리 및 원격 코드 실행 가능성 취약점. ("Double Free and possible RCE vulnerability in Apache HTTP Server with the HTTP/2 protocol.")
핵심 키워드는 두 가지입니다. 하나는 더블프리(이중 해제, CWE-415)로, 이미 해제된 메모리를 다시 해제하면서 메모리 상태가 깨지는 결함입니다. 다른 하나는 공식 제목에 명시된 "early reset"입니다. HTTP/2에서 클라이언트가 스트림을 빠르게 리셋(RST_STREAM)하는 처리 과정과 관련이 있다는 의미죠. 더블프리는 흔히 서비스 중단으로 이어지지만, 이번 건은 공식 표현 그대로 원격 코드 실행 가능성(possible RCE)까지 거론된다는 점에서 단순 안정성 이슈로만 보기 어렵습니다.
등급과 점수를 정확히 읽기
이 취약점은 출처에 따라 "important"로도, "critical"로도 검색됩니다. 혼선을 피하려면 누가 무엇을 산정했는지 나눠서 봐야 합니다.
구분 | 값 | 출처 |
|---|---|---|
공식 심각도 등급 | important | Apache Software Foundation |
CVSS 3.1 점수 | 8.8 (HIGH) | CISA-ADP 산정 |
CVSS 벡터 | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CISA-ADP |
NIST(NVD) 자체 평가 | 미제공 (NVD assessment not yet provided) | NVD |
약점 분류 | CWE-415 (Double Free) | Apache |
정리하면 Apache 공식 등급은 important이고, 흔히 인용되는 8.8 HIGH는 CISA-ADP가 산정한 CVSS 값입니다. NIST(NVD) 본평가는 아직 제공되지 않았으니, "NVD가 8.8로 평가했다"가 아니라 "CISA-ADP가 8.8로 산정, NIST 평가는 대기"로 표현하는 편이 정확합니다. 일부 매체의 "critical" 헤드라인도 CVSS 점수에 기댄 표현이지 Apache 공식 등급은 아닙니다.
영향 버전과 수정 — 2.4.66에서 2.4.67로
공식 권고의 영향·수정 범위는 명확합니다.
항목 | 내용 |
|---|---|
영향 버전 | Apache HTTP Server 2.4.66 |
수정 버전 | 2.4.67 (2026-05-04 릴리스) |
공식 해법 | 2.4.67로 업그레이드 (별도 우회책은 권고에 미제시) |
타임라인도 함께 보면 이해가 빠릅니다. 2025년 12월 10일 보고(PR 69899), 다음 날인 12월 11일 소스 저장소에서 수정(r1930444·r1930796)됐고, 사용자용 릴리스인 2.4.67은 2026년 5월 4일에 나왔습니다. 발견은 striga.ai와 isec.pl 연구자가 했습니다.
운영자가 점검할 것
대응의 큰 줄기는 단순합니다. 공식 해법이 업그레이드 하나로 명확하기 때문입니다. 다만 "우리가 영향권인가"를 먼저 정확히 가려야 우선순위를 잡을 수 있습니다.
버전 확인—httpd -v등으로 운영 중인 Apache 빌드를 확인합니다. 공식 영향 버전은 2.4.66입니다.HTTP/2 노출 여부— Apache의 HTTP/2는 mod_http2가 담당합니다. 2.4.66에서 HTTP/2를 켜고 외부에 노출 중이라면 우선순위를 높입니다.2.4.67로 업그레이드— 공식 권고는 2.4.67 업그레이드이며, 별도 우회책은 제시되지 않았습니다. 가능한 한 빨리 적용합니다.배포판·이미지 공지 확인— 실제 적용은 사용하는 리눅스 배포판·컨테이너 이미지의 보안 업데이트로 내려오는 경우가 많으니, 해당 채널의 패치 공지도 함께 확인합니다.
웹서버 자체의 취약점은 그 앞단의 CDN이나 WAF만으로 완전히 가려지지 않습니다. 결국 오리진 서버를 제때 패치하는 운영 체계가 핵심입니다. 보안 패치를 놓치기 쉬운 환경이라면, 취약점 공지를 추적하고 적용하는 절차부터 점검해두는 것이 좋습니다.
이것만 기억하세요
CVE-2026-23918은 Apache HTTP Server의 HTTP/2 early reset 처리에서 발생하는 더블프리(CWE-415) 취약점으로, 공식 표현상 원격 코드 실행 가능성까지 거론됩니다. 등급을 정확히 보면 Apache 공식 등급은 important이고, 자주 인용되는 CVSS 8.8 HIGH는 CISA-ADP가 산정한 값이며 NIST(NVD) 자체 평가는 아직 미제공입니다. 영향 버전은 2.4.66, 수정은 2.4.67(2026-05-04 릴리스)이고 공식 해법은 업그레이드입니다. 운영자는 버전과 HTTP/2 노출 여부를 확인하고 2.4.67로 올리는 것을 우선하면 됩니다.
자주 묻는 질문 (FAQ)
Q. CVE-2026-23918은 어떤 취약점인가요?
Apache HTTP Server의 HTTP/2 처리에서 발생하는 더블프리(이중 해제) 취약점입니다. 공식 제목은 "http2: double free and possible RCE on early reset"으로, early reset 처리 중 같은 메모리를 두 번 해제하면서 원격 코드 실행 가능성까지 거론돼요. 약점 분류는 CWE-415, 영향 버전은 2.4.66입니다.
Q. 공식 등급과 CVSS 점수는 어떻게 되나요?
Apache 공식 등급은 important입니다. 일부 매체는 critical로 쓰지만 공식 등급은 important예요. CVSS는 CISA-ADP가 3.1 기준 8.8 HIGH로 산정했고, NIST(NVD) 자체 평가는 'NVD assessment not yet provided' 상태로 아직 미제공입니다.
Q. 어떤 버전이 영향을 받고 어떻게 고치나요?
영향 버전은 2.4.66, 수정은 2.4.67(2026년 5월 4일 릴리스)입니다. 공식 권고는 2.4.67로 업그레이드하는 것이고, 별도 우회책은 권고에 제시되지 않았어요.
Q. 우리 서버가 영향을 받는지 어떻게 확인하나요?
httpd -v 등으로 Apache 버전을 확인하세요. 영향 버전 2.4.66에서 HTTP/2(mod_http2)를 외부에 노출 중이라면 우선순위를 높여야 합니다. 배포판·이미지의 보안 공지도 함께 확인하면 더 정확해요.
Q. 패치를 바로 못 하면 어떻게 하나요?
공식 권고는 2.4.67 업그레이드이고 별도 우회책은 없습니다. 따라서 빨리 패치하는 게 원칙이에요. 일정상 어렵다면 노출된 HTTP/2 엔드포인트의 접근 통제·모니터링을 강화해 노출 시간을 관리하되, 근본 해결은 업그레이드라는 전제는 유지해야 합니다.
