世界中のWebサーバが影響 Apacheが危険な脆弱性を一斉修正：バージョン2.4.68を公開

Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。

[＠IT]

　Apache Software Foundationは2026年6月8日（米国時間）、「Apache HTTP Server 2.4.68」を公開した。2.4系の最新版に位置付けられる一般提供版で、セキュリティ修正や不具合修正、機能追加を含む更新となる。開発元は従来版利用者に対し、2.4.68への更新を推奨している。

Apache HTTP Serverの最新版が公開　複数の脆弱性に対処

　Apache HTTP Server 2.4.68では多数の脆弱（ぜいじゃく）性が修正された。特にHTTP/2処理における欠陥である「CVE-2026-49975」が注目される。同脆弱性は細工されたHTTPリクエストによって過剰なメモリ確保が発生し、サービス停止に至る恐れがあった。この他にはどのような脆弱性があったのか。

　同じく「mod_http2」において「CVE-2026-48913」も修正された。ファイルディスクリプタ枯渇時に解放済みメモリにアクセスする「Use-After-Free（解放後使用）」の問題で、メモリ破損や異常終了を引き起こす危険があった。

　設定ファイル内の正規表現処理に起因する「CVE-2026-44631」も深刻な問題の一つだった。符号付き文字のオーバーフローによってヒープアンダーフローが発生し、細工された正規表現からメモリ破壊につながる可能性があった。

　プロキシ関連モジュールでも複数の欠陥が解消された。「CVE-2026-34355」は「mod_proxy_html」に存在したバッファーオーバーフローとされ、不正なバックエンドから送信されたデータによってプロセス異常終了が発生する恐れがあった。「CVE-2026-34356」において、「ProxyPassReverseCookieMap」処理にヒープベースのバッファーオーバーフローが存在し、悪意あるバックエンドサーバ経由で悪用される危険が指摘されていた。

　権限管理に関する問題としては「CVE-2026-44119」が修正対象となった。「.htaccess」内の式評価機能を悪用することで、ローカル利用者がhttpd実行権限下でファイルを参照できる可能性があった。

　SSL機能では「CVE-2026-44185」に対処した。同脆弱性においては、攻撃者管理下のOCSP（Online Certificate Status Protocol）サーバとの通信時にバッファーの過読み込みが発生する恐れがあり、mod_ssl利用環境に影響する。FTPプロキシ機能でも、「CVE-2026-44186」の無限ループ問題や、「CVE-2026-29170」のクロスサイトスクリプティング（XSS）の脆弱性が修正された。

　この他、「CVE-2026-42536」（mod_xml2encのヒープオーバーフロー）や、「CVE-2026-42535」（mod_dav_fsの保護領域操作問題）、「CVE-2026-29167」（mod_ldapの解放後使用）、「CVE-2026-43951」（mod_headersおよびmod_mime利用時の範囲外読み込み）など多岐にわたる脆弱性に対応している。

　機能面においては、mod_sslおよびabでOpenSSL 4.0をサポートした他、SSL証明書属性の拡充やクライアント証明書認証時の識別改善を実装した。ログ機能ではErrorLogFormatにミリ秒単位の時刻出力を追加している。

　HTTP/2実装も更新され、mod_http2はバージョン2.0.42に刷新された。ファイル送信時のファイルディスクリプタ利用効率改善や、Cookieヘッダ処理、不適切なエラー処理など複数の問題が修正されている。

　Apache HTTP Serverは世界中のWebサーバ基盤で広く利用されている。今回の更新では2.4.0〜2.4.67の広範囲に影響する脆弱性が多数解消されており、運用中の管理者には速やかな更新適用が求められる。