SavefileArchive
USD/IDR ...
|
BTC ...
|
ETH ...
|
GOLD/gram ...
Terbaru
SavefileArchive — Tutorial coding, tips programming, dan dunia musik untuk developer & pecinta musik Indonesia
Kerentanan Kritis Apache mod_http2 (CVE-2026-23918): Bahaya Double Free dan Cara Memperbaikinya
AI

Kerentanan Kritis Apache mod_http2 (CVE-2026-23918): Bahaya Double Free dan Cara Memperbaikinya

revolution
featured image

Kerentanan Kritis Apache mod_http2 (CVE-2026-23918): Bahaya Double Free dan Cara Memperbaikinya

Jika Anda mengelola server web menggunakan Apache HTTP Server (httpd) dan mengaktifkan dukungan HTTP/2, ada berita penting yang perlu Anda ketahui. Pada pertengahan Mei 2026, tim pengembang Apache merilis pembaruan keamanan mendesak untuk menambal kerentanan kritis yang dilacak sebagai CVE-2026-23918. Celah ini menyerang modul mod_http2 pada Apache versi 2.4.66.

Kerentanan ini disebabkan oleh masalah pengelolaan memori yang dikenal sebagai "Double Free". Dampaknya berkisar dari crash server instan (Denial of Service) hingga potensi eksekusi kode jarak jauh (Remote Code Execution) oleh peretas tak dikenal.

Apa Itu Kerentanan Double Free?

Sebelum masuk ke detail teknis Apache, mari kita pahami dulu apa itu Double Free secara sederhana. Dalam bahasa pemrograman tingkat rendah seperti C (bahasa pemrograman yang digunakan untuk menulis Apache), program bertanggung jawab penuh atas pengelolaan memori RAM.

Ketika program membutuhkan ruang memori, ia akan meminta alokasi (misalnya menggunakan fungsi malloc()). Setelah data selesai digunakan, memori tersebut harus dibebaskan kembali (menggunakan fungsi free()). Masalah Double Free terjadi ketika program mencoba membebaskan alamat memori yang sama sebanyak dua kali tanpa ada alokasi baru di antaranya.

Hal ini dapat mengacaukan struktur data internal dari pengelola memori (memory allocator). Penyerang yang cerdik dapat memanfaatkan kekacauan ini untuk menulis kode berbahaya mereka sendiri ke dalam memori RAM server, lalu memanipulasi alur eksekusi server agar menjalankan kode tersebut (RCE).

Detail Eksploitasi CVE-2026-23918

Pada Apache httpd 2.4.66, celah ini terletak di modul mod_http2 yang bertugas menangani koneksi HTTP/2. Kerentanan dapat dipicu ketika server memproses urutan frame HTTP/2 yang tidak biasa, khususnya ketika client mengirimkan instruksi pembatalan request (early stream reset) secara cepat pada momen transisi siklus request-response.

Karena kesalahan logika pembersihan data pada modul, objek koneksi yang sama didealokasikan dua kali oleh thread yang berbeda. Dampak dari serangan ini sangat bergantung pada tipe alokator memori yang digunakan oleh sistem operasi tempat Apache berjalan:

  • Default Allocator (glibc pt-malloc): Sangat rentan. OS seperti Debian, Ubuntu, dan official Docker image Apache menggunakan alokator ini secara default. Penyerang dapat dengan mudah memicu crash instan pada proses worker Apache.
  • Hardened Allocators (seperti jemalloc atau tcmalloc): Cenderung lebih aman dari RCE karena memiliki proteksi internal terhadap corrupt metadata, namun crash akibat Denial of Service (DoS) masih tetap mungkin terjadi.

Cara Memeriksa Apakah Apache Anda Rentan

Untuk mengetahui versi Apache HTTP Server yang sedang Anda gunakan, jalankan perintah berikut di terminal server Anda:

# Periksa versi Apache
apache2 -v
# Atau pada beberapa distro Linux
httpd -v

Jika output menunjukkan versi Apache/2.4.66 dan Anda mengaktifkan modul HTTP/2, server Anda berada dalam kondisi rentan. Anda bisa memeriksa apakah modul HTTP/2 aktif dengan mencari konfigurasi berikut di file konfigurasi Apache Anda (apache2.conf atau httpd.conf):

# Modul mod_http2 aktif jika baris ini tidak dikomentari
Protocols h2 h2c http/1.1

Solusi dan Langkah Perbaikan

Satu-satunya solusi permanen dan paling aman adalah memperbarui Apache HTTP Server Anda ke versi **2.4.67** atau lebih baru, yang telah dirilis dengan perbaikan bug ini.

1. Update Melalui Package Manager

Bagi pengguna Ubuntu atau Debian, lakukan update package list dan jalankan upgrade:

sudo apt update
sudo apt --only-upgrade install apache2

2. Mitigasi Sementara (Jika Belum Bisa Update)

Jika sistem Anda berada pada lingkungan produksi yang sangat ketat dan tidak memungkinkan untuk melakukan update paket saat ini, Anda dapat menonaktifkan protokol HTTP/2 untuk sementara dan memaksa server menggunakan HTTP/1.1 saja. Caranya:

Ubah konfigurasi protokol di file konfig Apache Anda dengan menghapus opsi h2 dan h2c:

# Ganti dari ini:
# Protocols h2 h2c http/1.1

# Menjadi hanya http/1.1:
Protocols http/1.1

Setelah itu, lakukan restart pada service Apache Anda:

sudo systemctl restart apache2
# atau
sudo systemctl restart httpd

Catatan: Menolak HTTP/2 akan sedikit mengurangi kecepatan loading aset web Anda karena kehilangan fitur multiplexing, namun langkah ini akan mengamankan server Anda 100% dari eksploitasi celah keamanan ini selagi Anda mempersiapkan proses update sistem.

Kesimpulan

Celah keamanan memori seperti Double Free pada software legendaris sekelas Apache mengingatkan kita bahwa tidak ada sistem yang benar-benar kebal dari bug penulisan kode tingkat rendah. Lakukan audit versi server Anda hari ini juga dan pastikan patch versi 2.4.67 telah terpasang dengan baik!

"Lebih baik kehilangan sedikit performa dengan kembali ke HTTP/1.1 untuk sementara, daripada membiarkan server terbuka terhadap ancaman pengambilalihan kontrol penuh oleh peretas."