Apache HTTP Server 2.4 に複数の脆弱性 | ScanNetSecurity
2026.07.15(水)

Apache HTTP Server 2.4 に複数の脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月14日、Apache HTTP Server 2.4における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は7月14日、Apache HTTP Server 2.4における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。

・CVE-2024-42516、CVE-2024-43204、CVE-2024-43394、CVE-2024-47252
Apache HTTP Server 2.4.0から2.4.63

・CVE-2025-23048
Apache HTTP Server 2.4.35から2.4.63

・CVE-2025-49630
Apache HTTP Server 2.4.26から2.4.63

・CVE-2025-49812
Apache HTTP Server 2.4.63およびそれ以前

・CVE-2025-53020
Apache HTTP Server 2.4.17から2.4.63

 The Apache Software FoundationのApache HTTP Server 2.4系には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・Apache HTTP Serverのコア機能におけるHTTPレスポンス分割の問題(CVE-2024-42516)
 Apache HTTP Server 2.4.59で修正された不具合(CVE-2023-38709)に対する不十分な修正に対応
→HTTPレスポンスを分割し、任意のヘッダーなどを挿入される

・mod_proxyがロードされたApache HTTP Serverにおけるサーバサイドリクエストフォージェリ(CVE-2024-43204)
→攻撃者が指定するURLへアウトバウンドプロキシリクエストを送信される

・Windows用Apache HTTP Serverにおけるサーバサイドリクエストフォージェリ(CVE-2024-43394)
→悪意のあるサーバーにNTLMハッシュが漏えいする

・mod_sslにおける、ユーザー指定のデータのエスケープが不十分な問題(CVE-2024-47252)
→クライアントから提供されたデータに対してエスケープ処理が実施されないままログファイルに表示される

・特定のmod_ssl構成において、信頼されたクライアントによるアクセス制御のバイパスが可能な問題(CVE-2025-23048)
→別のバーチャルホストにアクセスされる

・特定のプロキシ構成において、信頼できないクライアントによる意図的に発生可能なアサーションエラー(CVE-2025-49630)
→サービス運用妨害(DoS)状態にされる

・特定のmod_ssl構成において、中間者攻撃者によるTLSアップグレード攻撃が可能な問題(CVE-2025-49812)
→HTTP セッションを乗っ取られる

・有効期間後のメモリ解放の欠如(CVE-2025-53020)
→メモリが開放されないことでサービス運用妨害(DoS)状態につながる

 The Apache Software Foundationでは脆弱性に対応したApache HTTP Server 2.4.64を公開しており、JVNでは、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  2. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  3. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

ランキングをもっと見る
PageTop