Apacheは、コアモジュールおよび広く利用されているコンポーネントに存在する複数のセキュリティ脆弱性に対処したHTTP Serverバージョン2.4.68をリリースしました。このリリースは、インターネットに公開されているインフラにおける迅速なパッチ適用の重要性を改めて浮き彫りにしています。
今回のアップデートでは、バージョン2.4.0から2.4.67に影響するメモリ安全性の問題、権限昇格の脆弱性、サービス拒否状態、入力検証の不備など、多岐にわたる問題が修正されています。低深刻度と評価される問題もある一方で、クラッシュや範囲外読み取りを引き起こす中程度の脆弱性が複数含まれています。
権限の悪用に関する問題も含まれており、このリリースはApache HTTP Serverを利用する企業環境、リバースプロキシ環境、クラウドホスト型Webサービスにとって重要なアップデートとなっています。
Apache HTTP Server 2.4.68のパッチ内容
今回のリリースの主な注目点は、mod_proxy_html、mod_xml2enc、mod_http2といったモジュールにおけるメモリ破損脆弱性の修正です。これらの脆弱性は、悪意のあるバックエンドレスポンスや細工されたクライアントリクエストによって引き起こされる可能性があります。
たとえば、バックエンドサービスを制御する攻撃者やリバースプロキシの設定を悪用する攻撃者は、バッファオーバーフロー脆弱性(CVE-2026-34355、CVE-2026-34356)を利用してサーバーを不安定化させたり、条件が整った場合にはコード実行を達成したりする可能性があります。
また、mod_http2のサービス拒否の脆弱性(CVE-2026-49975)により、攻撃者は過大なメモリ割り当てを通じてメモリを枯渇させることができ、HTTP/2を有効にした高トラフィック環境に重大なリスクをもたらします。
権限およびアクセス制御の脆弱性も修正されています。CVE-2026-44119は、.htaccessファイル内の式の不適切な処理により、ローカルユーザーが昇格した権限で制限されたリソースにアクセスできる可能性がある問題です。
同様に、CVE-2026-42535はmod_dav_fsに影響し、WebDAVプロパティストレージの操作によってプロセスクラッシュが発生する可能性があります。特に、コラボレーション環境やコンテンツ制作環境で顕著なリスクとなります。
その他の脆弱性は、プロトコル処理やエッジケースの解析に関するものです。ヘッダーマージロジックにおける範囲外読み取り(CVE-2026-43951)、mod_proxy_ftpにおける無限ループ状態(CVE-2026-44186)、FTPディレクトリリスティングにおけるクロスサイトスクリプティング(CVE-2026-29170)などが含まれます。
解放後使用(CVE-2026-29167、CVE-2026-48913)やヒープアンダーフロー(CVE-2026-44631)といった低深刻度の問題であっても、他の脆弱性と組み合わされることで攻撃対象領域が拡大する可能性があります。
| CVE ID | 脆弱性の種類 | 影響を受けるモジュール/領域 | 影響を受けるバージョン | 影響の概要 |
|---|---|---|---|---|
| CVE-2026-29167 | 解放後使用(Use-after-free) | mod_ldap(ディレクトリごとの設定) | 2.4.0 – 2.4.67 | ディレクトリごとの設定における解放後使用。クラッシュまたはメモリ破損を引き起こす可能性があります。 |
| CVE-2026-48913 | 解放後使用(Use-after-free) | mod_http2(ファイルハンドル枯渇) | 2.4.55 – 2.4.67 | ファイルハンドルが枯渇した際に解放後使用が発生し、不安定性を引き起こす可能性があります。 |
| CVE-2026-49975 | サービス拒否 | mod_http2(メモリ割り当て) | 2.4.17 – 2.4.67 | 細工されたHTTP/2リクエストによる過剰なメモリ割り当てにより、リソースを枯渇させてサーバーをクラッシュさせる可能性があります。 |
| CVE-2026-29170 | クロスサイトスクリプティング | mod_proxy_ftp(HTMLディレクトリリスティング) | 2.4.67以前 | フォワードプロキシまたはリバースプロキシ経由のFTPディレクトリリスティングにおける反射型XSS。 |
| CVE-2026-34355 | バッファオーバーフロー | mod_proxy_html | 2.4.0 – 2.4.67 | 信頼されていないバックエンドレスポンスによって引き起こされるバッファオーバーフロー。 |
| CVE-2026-34356 | バッファオーバーフロー | ProxyPassReverseCookie* ディレクティブ | 2.4.0 – 2.4.67 | 悪意のあるバックエンドを使用したCookie書き換え時のヒープベースバッファオーバーフロー。 |
| CVE-2026-42536 | バッファオーバーフロー | mod_xml2enc | 2.4.0 – 2.4.67 | xml2StartParseを介して信頼されていないコンテンツを解析する際のヒープベースオーバーフロー。 |
脅威インテリジェンスの観点から見ると、悪用の可能性はデプロイ環境に大きく依存します。特に、リバースプロキシの利用、信頼されていないバックエンドとの統合、WebDAV設定、HTTP/2サポートが重要な要因となります。
インターネットにApacheサーバーを公開している組織や、動的なアップストリームサービスと統合している組織は、直ちにアップグレードを優先して実施することが推奨されます。セキュリティチームは、有効化されているモジュールの監査、バックエンドの信頼境界の制限、HTTPの解析やプロキシの動作を標的とした異常なトラフィックパターンの監視を行うことが求められます。
Apacheは複数の研究者に謝意を表しており、depthfirst、Aisle Research、IBM X-Forceの関係者を含む貢献者が協調開示への取り組みで評価されています。修正は2026年6月初旬にコミットされ、2026年6月8日に正式リリースされました。
翻訳元: https://gbhackers.com/apache-http-server-2-4-68-patches-multiple-vulnerabilities/
