Apache HTTP Serverに任意コード実行を含む複数の脆弱性 広範囲の影響懸念：最新版へのアップデートを

Apache Software Foundationは、Apache HTTP Server 2.4.67を公開した。HTTP/2処理欠陥による任意コード実行懸念を含む複数の脆弱性を修正した他、認証回避や権限昇格、メモリ破損、DoS誘発といった問題に対処している。

[＠IT]

　Apache Software Foundationは2026年5月4日（米国時間）、「Apache HTTP Server 2.4.67」を公開した。このバージョンではHTTP/2機能に存在した任意コード実行の恐れを含む複数の脆弱（ぜいじゃく）性を修正している。

　対象範囲は認証やAJP関連処理、キャッシュ機能、DAV関連機能など広範囲に及ぶ。Apache HTTP Server 2.4.66以前、もしくは一部旧版系列を運用中のApache HTTP Server管理者に更新適用を促した。

深刻度「重要」の脆弱性も確認　急ぎアップデートを

　深刻度「重要」に分類された「CVE-2026-23918」は、HTTP/2処理内で発生する二重解放欠陥の脆弱性とされる。接続初期段階で異常終了操作を受けた際、不正状態に陥る恐れがあり、条件次第では遠隔側から任意コード実行に発展する懸念が示されている。影響範囲は2.4.66に限定される。

　深刻度「中程度」に分類された「CVE-2026-24072」は、モジュール「mod_rewrite」関連処理内で「ap_expr」利用時に発生する権限昇格欠陥の脆弱性とされる。「.htaccess」の作成権限を持つ利用者がhttpd実行権限下でファイル閲覧可能となる恐れがある。共有運用環境では権限境界維持に支障を与える危険があり、2.4.66以前に影響が及ぶ。

　同じく深刻度「中程度」に分類された「CVE-2026-33006」は、「mod_auth_digest」内で発生するタイミング攻撃に関する脆弱性だ。リモートの攻撃者が「Digest」認証突破に至る恐れがある。認証機能利用環境では認可保護低下に直結するため、公開系運用基盤では早急な更新適用が求められる。

　今回の修正では認証処理やHTTP/2処理、AJP関連処理、DAV関連処理など複数領域で欠陥が確認された点が特徴となった。