JVNVU#97286548
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（2025年12月）

The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.66が公開されました。

CVE-2025-55753

• Apache HTTP Server 2.4.30から2.4.66より前のバージョン

• Apache HTTP Server 2.4.66より前のバージョン

• Apache HTTP Server 2.4.65より前のバージョン

• Apache HTTP Server 2.4.0から2.4.65までのバージョン

• Apache HTTP Server 2.4.7から2.4.65までのバージョン

The Apache Software Foundationから、Apache HTTP Server 2.4系における次の複数の脆弱性に対応したApache HTTP Server 2.4.66が公開されました。

• ACME証明書更新の失敗が繰り返された場合に、整数オーバーフローが起きる問題（CVE-2025-55753）
• Server Side Includes（SSI）が有効かつ、mod_cgidを利用している場合、シェルエスケープされたクエリ文字列を#exec cmdディレクティブに渡してしまう問題（CVE-2025-58098）
• Windows上のApache HTTPサーバーにおけるサーバサイドリクエストフォージェリ（CVE-2025-59775）
• Apache設定を介して設定された環境変数が、CGIプログラム用に計算した変数を予期せず上書きする問題（CVE-2025-65082）
• AllowOverride FileInfoの脆弱性により、mod_userdirおよびsuexecによる制御がバイパスされる問題（CVE-2025-66200）

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 証明書の更新の試行が成功するまで繰り返されることでサービス運用妨害（DoS）状態にされる（CVE-2025-55753）
• 意図しないクエリ文字列を挿入され、不正なコマンド実行につながる（CVE-2025-58098）
• AllowEncodedSlashesがOnかつMergeSlashesがOffの場合、悪意のあるサーバーにNTLMハッシュが漏洩する（CVE-2025-59775）
• CGIで予期しない処理が行われる（CVE-2025-65082）
• CGIスクリプトが予期しないユーザーIDで実行される（CVE-2025-66200）

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。