Apache HTTP Server 2.4.68 Patches Multiple Security Vulnerabilities
2026/06/09 gbhackers — Apache は HTTP Server バージョン 2.4.68 をリリースし、コアモジュールとコンポーネントに存在する複数のセキュリティ脆弱性に対応した。このアップデートは、バージョン 2.4.67 以下に影響を及ぼす、メモリ安全性/権限昇格/サービス拒否/入力検証の欠陥などの問題を修正するものだ。複数の中程度の脆弱性により、クラッシュ/境界外読み取り/権限の不正利用などが引き起こされる可能性がある。
このリリースは、エンタープライズ環境/リバースプロキシ構成/クラウドホスト Web サービスにおいて重要であり、インターネット公開インフラにおける迅速なパッチ適用の重要性を再確認する内容である。
Apache HTTP Server 2.4.68 パッチ
今回のリリースの重要ポイントの一つは、mod_proxy_html/mod_xml2enc/mod_http2 といったモジュールにおける、メモリ破損の脆弱性の修正である。これらの問題は、悪意のバックエンド応答や細工されたクライアント・リクエストによりトリガーされる可能性がある。
たとえば、バックエンド・サービスを制御する攻撃者がリバースプロキシ・コンフィグを悪用するケースでは、バッファ・オーバーフローの脆弱性 CVE-2026-34355/CVE-2026-34356 を介したサーバの不安定化や、限定された条件下でのコード実行に至る恐れがある。
さらに、mod_http2 におけるサービス拒否の脆弱性 CVE-2026-49975 を悪用する攻撃者は、過剰なメモリ・アロケーションを引き起こすため、HTTP/2 を有効化した高トラフィック環境において重大なリスクとなる。
権限昇格とアクセス制御の欠陥も修正されている。たとえば、脆弱性 CVE-2026-44119 を悪用するローカル・ユーザーは、”.htaccess” ファイル内の式処理を介して、昇格した権限で制限リソースにアクセスする可能性がある。
その他の脆弱性は、プロトコル処理やエッジケース解析に関連するものだ。そこに含まれる脆弱性は、ヘッダマージ・ロジックにおける out-of-bounds 読み取り CVE-2026-43951/mod_proxy_ftp における無限ループ CVE-2026-44186/FTP ディレクトリ一覧におけるクロスサイト・スクリプティング CVE-2026-29170 などである。
さらに、解放後メモリ使用の脆弱性 CVE-2026-29167/CVE-2026-48913 や、ヒープ・アンダーフローの脆弱性 CVE-2026-44631 といった低深刻度の問題であっても、他の脆弱性と組み合わせることで攻撃面を拡大する可能性がある。
脅威インテリジェンスの観点では、一連の脆弱性の悪用可能性はデプロイメント・コンテキストに強く依存する。特にリバースプロキシ利用/信頼されていないバックエンド統合/WebDAV コンフィグ/HTTP/2 サポートの有無が重要になる。
インターネット公開 Apache サーバや、動的アップストリーム・サービスと統合された環境では、即時のアップグレードを実施すべきである。セキュリティ・チームにとって必要なことは、有効化モジュールの監査と、バックエンド信頼境界の制限、HTTP パースおよびプロキシ動作に対する異常トラフィックの監視である。
Apache は depthfirst/Aisle Research/IBM X-Force など複数の研究者による協調的開示に対し謝意を表している。修正は 2026年6月初旬にコミットされ、2026年6月8日に正式リリースされた。
訳者後書:Apache HTTP Server における複数の脆弱性の原因は、各モジュールにおけるメモリ処理や入力検証の不備にあります。たとえば、CVE-2026-34355/CVE-2026-34356 では信頼できない応答を処理する際のバッファオーバーフロー、CVE-2026-49975 では HTTP/2 リクエスト時の過剰なメモリ割り当ての制御不備、CVE-2026-44119 では式処理の不備が原因となっています。これらのプログラム内の確認や制限の不具合により、サーバの不安定化や制限されたリソースへのアクセスといった危険性が生じています。ご利用のチームは、ご注意ください。よろしければ、Apache HTTP Server での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.