JVNVU#99705957
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート（2026年5月）

The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.67が公開されました。

CVE-2026-23918

• Apache HTTP Server 2.4.66

• Apache HTTP Server 2.4.66およびそれ以前

• Apache HTTP Server 2.4.66およびそれ以前

• Apache HTTP Server 2.4.30から2.4.66まで

• Apache HTTP Server 2.4.66およびそれ以前

• Apache HTTP Server 2.4.66およびそれ以前

• Apache HTTP Server 2.4.0から2.4.66まで

• Apache HTTP Server 2.4.0から2.4.66まで

• Apache HTTP Server 2.4.66およびそれ以前

• Apache HTTP Server 2.4.66およびそれ以前

• Apache HTTP Server 2.4.66およびそれ以前

The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.67が公開されました。

• HTTP/2処理時の二重解放（CVE-2026-23918）
• mod_rewriteにおける権限昇格（CVE-2026-24072）
• mod_proxy_ajpにおけるバッファオーバーフロー（CVE-2026-28780）
• mod_mdにおけるOCSP応答処理の不備（CVE-2026-29168）
• mod_dav_lockにおけるNULLポインタ参照（CVE-2026-29169）
• mod_auth_digestにおいてタイミング攻撃が可能となる問題（CVE-2026-33006）
• mod_authn_socacheにおけるNULLポインタ参照（CVE-2026-33007）
• バックエンドサーバからのステータス行処理の不備によりHTTPレスポンスが分割される問題（CVE-2026-33523）
• mod_proxy_ajpにおける境界外読み取り（CVE-2026-33857）
• mod_proxy_ajpにおけるNULL終端チェック不備による境界外読み取り（CVE-2026-34032）
• mod_proxy_ajpにおけるヒープメモリの境界外読み取り（CVE-2026-34059）

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• サービス運用妨害（DoS）状態にされたり、任意のコードが実行されたりする（CVE-2026-23918）
• ローカルの .htaccess 作成権限を持つ攻撃者によって、httpd ユーザー権限でファイルが読み取られる（CVE-2026-24072）
• 悪意のある AJP サーバーと接続した場合、サービス運用妨害（DoS）が引き起こされる（CVE-2026-28780）
• 過剰なリソース消費が引き起こされる（CVE-2026-29168）
• サービス運用妨害（DoS）が引き起こされる（CVE-2026-29169）
• Digest認証が回避される（CVE-2026-33006）
• キャッシングフォワードプロキシ構成において、子プロセスがクラッシュさせられる（CVE-2026-33007）
• HTTP レスポンス分割攻撃を受ける（CVE-2026-33523）
• メモリ内の情報が漏えいする（CVE-2026-33857）
• メモリ内の情報が漏えいする（CVE-2026-34032）
• メモリ内の情報が漏えいする​（CVE-2026-34059）

アップデートする
開発者が提供する情報をもとに最新版へアップデートしてください。