Apache HTTP Server 2.4.64 Released With Patch for 8 Vulnerabilities
2025/07/11 CyberSecurityNews — Apache Software Foundation が公表したのは、Apache HTTP Server バージョン 2.4.64 のリリースにより、バージョン 2.4.0〜2.4.63 に存在する8件の深刻なセキュリティ脆弱性を修正したことだ。今回のアップデートにより解消されたものには、HTTP レスポンス・スプリッティング/サーバ・サイド・リクエスト・フォージェリ (SSRF)/サービス拒否 (DoS) などの複数の脆弱性があり、サーバのセキュリティ/パフォーマンスに対する潜在的リスクが軽減された。
主なポイント
- Apache HTTP Server のバージョン 2.4.64 は、2.4.x 系全体にわたる8件の脆弱性を修正し、その中に含まれる HTTPレスポンス・スプリッティング/SSRF などの脆弱性に対処している。
- SSL/TLS に関連するパッチにより、アクセス制御のバイパス/TLSアップグレード・ハイジャック/ログ・インジェクションなどの問題も解決された。
- SSRF に関する修正により、mod_proxy の悪用や、Windows 環境における UNC パス経由での NTLM ハッシュ漏洩が防止される。
- HTTP/2 に関する DoS 脆弱性は、プロキシ設定およびメモリ消費に関連するものであり、速やかなアップグレードが推奨される。
HTTPレスポンスおよび SSL/TLS 関連のセキュリティ欠陥
今回のリリースで修正された脆弱性の中で、最も重要なものは、Apache HTTP Server のコアに存在する HTTPレスポンス・スプリッティング脆弱性 CVE-2024-42516 (Medium) である。この脆弱性を悪用する攻撃者は、ホスト/プロキシされたアプリケーションの Content-Type レスポンスヘッダを操作し、HTTPレスポンスの分割を達成する。
以前において、この脆弱性は CVE-2023-38709 として報告されていたが、そのときのバージョン 2.4.59 における修正は不十分であった。
このリリースで修正された、SSL/TLS 関連の脆弱性としては CVE-2025-23048 が挙げられる。この問題は、Apache HTTP Server バージョン 2.4.35 〜 2.4.63 における mod_ssl コンフィグに影響を及ぼすものだ。この脆弱性を悪用する攻撃者は、TLS 1.3 セッションの再開機能を介して、アクセス制御を回避できるという。
もう一つの SSL 関連の脆弱性 CVE-2025-49812 は、“SSLEngine optional” が有効化されたコンフィグにおいて、TLS アップグレードを通じたセッション・ハイジャックを可能にする。その結果として、中間者攻撃による HTTP セッションの乗っ取りのリスクが生じる。
さらに、脆弱性 CVE-2024-47252 は、mod_ssl に存在するユーザー入力データに対する不十分なエスケープ処理の欠陥である。CustomLog で “%{varname}x” や “%{varname}c” を用いるログ記録時に、信頼されていないクライアントに対して、エスケープ文字の挿入を許すものであり、深刻度は Low と評価されている。
サーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性
Apache HTTP Server バージョン 2.4.64 で修正された2件の SSRF 脆弱性は、それを悪用する攻撃者に対して、サーバ・リクエストの操作を許すものだ。1つ目の CVE-2024-43204 は、mod_proxy がロードされている状態で、HTTPリクエスト値を用いる mod_headers が、Content-Type ヘッダを変更するコンフィグにおいて発生するもの。この脆弱性の深刻度は Low であるが、細工されたプロキシ・リクエストの外部への送信を、攻撃者が可能にする恐れがある。
2つ目の CVE-2024-43394 は、Windows 環境における Apache HTTP Server に影響を及ぼす、深刻度 Medium の脆弱性である。未検証のリクエスト入力が、mod_rewrite または Apache 式により UNC パスとして処理された場合に、攻撃者は NTLM ハッシュ漏洩の可能性を手にする。
Apache HTTP Server プロジェクトは、SSRF 脆弱性への対処方針として、今後における UNC パス基準の厳格化を予定している。
サービス拒否およびパフォーマンス関連の問題
CVE-2025-49630 は、深刻度 Low の DoS 脆弱性である。ProxyPreserveHost が有効化されている HTTP/2 バックエンドのリバース・プロキシ・コンフィグにおいて、信頼されていないクライアントが mod_proxy_http2 内でアサーション・エラーを引き起こし、サービス停止を招くという。
もう一方の CVE-2025-53020 は、Apache HTTP Server バージョン 2.4.17 〜 2.4.63 に影響を及ぼす、Midium レベルのメモリ消費型 DoS 脆弱性である。この問題は、オブジェクトの実効ライフタイムを超えて、メモリが解放されるタイミングの遅延により発生する。
脆弱性一覧
| CVE | Description | Severity |
| CVE-2024-42516 | HTTP response splitting | Moderate |
| CVE-2024-43204 | SSRF with mod_headers setting Content-Type header | Low |
| CVE-2024-43394 | SSRF on Windows due to UNC paths | Moderate |
| CVE-2024-47252 | Insufficient escaping of user-supplied data in mod_ssl | Low |
| CVE-2025-23048 | mod_ssl access control bypass with session resumption | Moderate |
| CVE-2025-49630 | mod_proxy_http2 denial of service attack | Low |
| CVE-2025-49812 | mod_ssl TLS upgrade attack allowing HTTP session hijacking via man-in-the-middle attacks | Moderate |
| CVE-2025-53020 | HTTP/2 DoS by memory increase | Moderate |
Paderborn University/Ruhr University Bochum などの研究機関および、セキュリティ企業の研究者たちが、これらの脆弱性の発見に貢献した。
すでの Apache Software Foundation は、バージョン 2.4.64 リリースし、一連の問題に対処している。すべてのユーザーに対して、強く推奨されるのは、最新バージョンへの速やかなアップグレードである。
特に、機密データを扱う本番環境や、高セキュリティ要件を持つシステムを運用しているシステム管理者は、最優先で Apache HTTP Server を更新すべきである。
今回の Apache HTTP Server のアップデートは、いくつかの深刻な脆弱性をまとめて修正した重要なリリースです。HTTP レスポンスの改竄や、SSL の問題などの、幅広いリスクが対象となっています。特に SSRF や TLS セッションの乗っ取りは、外部との通信が多いサーバでは、大きな脅威になると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Apache HTTP Server で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.