Critical Apache HTTP Server Flaw Exposes Millions of Servers to RCE Attacks
2026/05/05 CyberSecurityNews — Apache Software Foundation は、Apache HTTP Server 向けのセキュリティ更新を公開した。2026年5月4日にリリースされたバージョン 2.4.67 は、リモート・コード実行 (RCE) を引き起こす可能性があるダブルフリー (double-free) の欠陥などの、複数の脆弱性に対処している。バージョン 2.4.66 以前を使用している、すべてのユーザーに対して強く推奨されるのは、速やかなアップグレードである。
5 件の脆弱性の中で最も深刻なのは、CVE-2026-23918 (CVSS:8.8:High) である。この欠陥は、Apache の HTTP/2 における “early stream reset” 処理中に発生するダブルフリー(double-free) 型のメモリ破損であり、同一メモリ領域を 2 回解放することでヒープ構造を破壊し、攻撃者による実行フローの制御を可能にする。
その結果、リモート・コード実行 (RCE) に至る危険性がある。この脆弱性は Apache HTTP Server 2.4.66 のみに影響するものであり、2025年12月10日に striga.ai の Bartlomiej Dmitruk および isec.pl の Stanislaw Strzalkowski により報告された。その翌日である 12月11日にコミットされた修正 (revision r1930444) が、2026年5月4日のバージョン 2.4.67 リリースにおいて正式に公開された。
2 件目の脆弱性 CVE-2026-24072 (Medium) は mod_rewrite における ap_expr 式の評価に関連するものである。この欠陥を突くローカルの “.htaccess” 作成者は、httpd ユーザー権限で任意ファイルを読み取ることが可能になるため、意図されたアクセス・レベルを超える権限昇格が発生する。この問題は Apache HTTP Server 2.4.66 以下のバージョンに影響し、2026年1月20日に研究者 y7syeu により報告された。
追加で修正された脆弱性
今回のバージョン 2.4.67 へのアップデートでは、さらに 3 件の Low 深刻度の脆弱性も修正された。
- CVE-2026-28780:mod_proxy_ajp の ajp_msg_check_header() 経由で発生するヒープベース・バッファ・オーバーフローの脆弱性である。悪意の AJP サーバーへの接続時に、細工された AJP メッセージがヒープ・バッファ末尾を超えて、攻撃者が制御する 4 バイトの書き込みを誘発する。この脆弱性は 2026年2月から3月にかけて、4 名の研究者により個別に報告されたものである。
- CVE-2026-29168:mod_md の OCSP レスポンス処理において、リソース割り当て上限が存在しない欠陥であり、過大な OCSP レスポンスを受信することでサーバのリソース枯渇が引き起こされる。この問題はバージョン 2.4.30〜2.4.66 に影響するものであり、2026年3月2日に Aisle Research の Pavel Kohout により報告された。
- CVE-2026-29169:mod_dav_lock における NULL ポインタ参照であり、細工されたリクエストによりサーバ・クラッシュ (DoS) を引き起こす可能性がある。ただし、このモジュールは mod_dav/mod_dav_fs から内部利用されず、既知の利用例も Apache Subversion 1.2.0 以下の mod_dav_svn のみに限定される。そのため、これらを使用していない環境では、モジュールを削除することでリスクを排除できる。
| CVE | Severity | Component | Impact | Affected Versions |
|---|---|---|---|---|
| CVE-2026-23918 | High (CVSS 8.8) | HTTP/2 | Double Free / RCE | 2.4.66 only |
| CVE-2026-24072 | Moderate | mod_rewrite (ap_expr) | Privilege Escalation | ≤ 2.4.66 |
| CVE-2026-28780 | Low | mod_proxy_ajp | Heap Buffer Overflow | ≤ 2.4.66 |
| CVE-2026-29168 | Low | mod_md (OCSP) | Resource Exhaustion | 2.4.30–2.4.66 |
| CVE-2026-29169 | Low | mod_dav_lock | NULL Ptr Dereference / DoS | ≤ 2.4.66 |
影響と対策
Apache HTTP Server は世界中で広く使用されているため、CVE-2026-23918 による RCE リスクは、エンタープライズ・インフラに対する深刻な脅威となる。管理者は、以下の対策を直ちに実施する必要がある。
- Apache HTTP Server 2.4.67 へのアップグレード (全脆弱性に対する完全修正)
- HTTP/2 の無効化 (即時アップグレードが困難な場合の暫定対策)
- mod_dav_lock を未使用の場合は削除
- .htaccess の権限を監査し CVE-2026-24072 の影響を制限
訳者後書:今回の脆弱性の主な原因は、メモリ管理の不備や設定の不備にあります。最も深刻な CVE-2026-23918 は、一度解放されたメモリをプログラムが誤って解放してしまう double-free という現象が HTTP/2 の処理中に発生します。これによりメモリの状態が壊れ、攻撃者に操作される恐れがあります。また CVE-2026-24072 では設定ファイルの評価処理の不備から、本来見えないはずのファイルが読み取られてしまいます。他にも CVE-2026-28780 のような容量制限を超えてデータが書き込まれるバッファ・オーバーフローや、CVE-2026-29168 のリソース割り当て制限の不足、CVE-2026-29169 の NULL ポインタ参照など、プログラムが想定外の挙動をする隙が原因となっています。ご利用のチームは、ご注意ください。よろしければ、Apache HTTP Server で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.