Apache HTTP Server Projectは6月8日(現地時間)、Apache HTTP Server の安定版系列の最新版「Apache 2.4.68」をリリースした。
「Apache HTTP Server」は、オープンソースのWebサーバソフトウェアとして高いシェアを持つソフトウェア。Webサイト配信、リバースプロキシ、認証、SSL/TLS、HTTP/2など多様な機能を提供する。
「Apache HTTP Server 2.4.68」のハイライトは次の通り。
〇mod_http2のDoS脆弱性を修正(CVE-2026-49975)
〇mod_http2のファイルハンドル枯渇時のuse-after-freeを修正(CVE-2026-48913)
〇ap_regnameのヒープアンダーフローを修正(CVE-2026-44631)
〇mod_proxy_ftpの無限ループおよびXSSを修正(CVE-2026-44186、CVE-2026-29170)
〇mod_sslのOCSP処理におけるバッファ過読を修正(CVE-2026-44185)
〇.htaccess内の式処理による権限昇格問題を修正(CVE-2026-44119)
〇mod_headers/mod_mime、mod_xml2enc、mod_dav_fs、mod_proxy_htmlなどの不具合を修正
〇mod_sslでOpenSSL 4.0をサポート
〇mod_http2、mod_file_cache、mod_proxy_balancerなどの不具合を修正
など。
今回修正された脆弱性には、DoS、use-after-free、バッファオーバーフロー、XSS、権限昇格、クラッシュにつながる可能性のある問題が含まれており、公開Webサーバやリバースプロキシを運用している場合、アップデートを施すことが推奨される。
「Apache HTTP Server 2.4.68」は、公式サイトからダウンロードできる。
リリースアナウンス
Changes
「Apache HTTP Server」は、オープンソースのWebサーバソフトウェアとして高いシェアを持つソフトウェア。Webサイト配信、リバースプロキシ、認証、SSL/TLS、HTTP/2など多様な機能を提供する。
「Apache HTTP Server 2.4.68」のハイライトは次の通り。
〇mod_http2のDoS脆弱性を修正(CVE-2026-49975)
〇mod_http2のファイルハンドル枯渇時のuse-after-freeを修正(CVE-2026-48913)
〇ap_regnameのヒープアンダーフローを修正(CVE-2026-44631)
〇mod_proxy_ftpの無限ループおよびXSSを修正(CVE-2026-44186、CVE-2026-29170)
〇mod_sslのOCSP処理におけるバッファ過読を修正(CVE-2026-44185)
〇.htaccess内の式処理による権限昇格問題を修正(CVE-2026-44119)
〇mod_headers/mod_mime、mod_xml2enc、mod_dav_fs、mod_proxy_htmlなどの不具合を修正
〇mod_sslでOpenSSL 4.0をサポート
〇mod_http2、mod_file_cache、mod_proxy_balancerなどの不具合を修正
など。
今回修正された脆弱性には、DoS、use-after-free、バッファオーバーフロー、XSS、権限昇格、クラッシュにつながる可能性のある問題が含まれており、公開Webサーバやリバースプロキシを運用している場合、アップデートを施すことが推奨される。
「Apache HTTP Server 2.4.68」は、公式サイトからダウンロードできる。
(川原 龍人/びぎねっと)
[関連リンク]リリースアナウンス
Changes
この記事の筆者
関連記事
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
