2026年6月8日、Apache Software FoundationがApache HTTP Server 2.4.68をリリースしました。今回の更新では権限昇格・サービス拒否(DoS)・境界外読み取り・バッファオーバーフローなど計13件のCVEが修正されています。Apache 2.4.67以前を運用している環境は影響を受けるため、情シス担当者は適用計画を早急に立てることが求められます。
この記事でわかること
- Apache HTTP Server 2.4.68で修正された主な脆弱性の内容
- 影響を受けるバージョンと対策の要点
- 情シスとして優先すべきアクションと参照すべき公的情報源
何が起きたのか
Apache Software Foundationは2026年6月8日、Apache HTTP Server 2.4系の最新版2.4.68を公開しました。JPCERT/CCとIPAも同日付けで「JVN(Japan Vulnerability Notes)」にアドバイザリ(JVNVU#99913823)を掲載し、注意喚起を行っています。
2026年5月にリリースされた2.4.67では11件のCVEが修正されており、今回の2.4.68はそれに続く大型アップデートです。Apache HTTP ServerはLinux・Unix系サーバーを中心に世界中で広く使われているWebサーバーであり、企業のWebアプリケーション基盤や社内ポータルなど幅広い場面で稼働しています。
修正された主な脆弱性
2.4.68で修正された13件のCVEのうち、重要度「Moderate(中程度)」以上の脆弱性を中心に整理します。
| CVE番号 | 重要度 | 影響モジュール | 内容 |
|---|---|---|---|
| CVE-2026-44119 | Moderate | 複数モジュール | .htaccessの式を悪用した権限昇格。ローカル作成者がhttpdユーザー権限でファイルを読み取れる可能性 |
| CVE-2026-42535 | Moderate | mod_dav_fs | 保護されたディレクトリへの不正アクセス |
| CVE-2026-43951 | Moderate | mod_headers / mod_mime | 複数の応答言語が設定されている環境でのOOB読み取りクラッシュ |
| CVE-2026-49975 | Moderate | mod_http2 | 細工されたHTTPリクエストによる過剰なメモリ確保→DoS |
| CVE-2026-44186 | Moderate | mod_proxy_ftp | 無限ループによるDoS |
| CVE-2026-34355 | Moderate | mod_proxy_html | バッファオーバーフロー |
このほか重要度「Low」として、mod_ldapのuse-after-free(CVE-2026-29167)、mod_sslのOCSPバッファオーバーリード(CVE-2026-44185)、mod_http2のメモリ破損(CVE-2026-48913)など7件が修正されています。
影響を受ける環境は?
今回修正された脆弱性の多くは、Apache HTTP Server 2.4.0〜2.4.67のすべてのバージョンが影響範囲です。特にCVE-2026-49975(mod_http2 DoS)は2.4.17以降が対象のため、HTTP/2を有効化しているサーバーは注意が必要です。
主な確認ポイントを整理すると次のとおりです。
- 稼働中のApache HTTP Serverのバージョンが2.4.67以前かどうか(
httpd -vまたはapache2 -vで確認) - HTTP/2(mod_http2)を有効にしているか
- mod_proxy_html、mod_proxy_ftp、mod_dav_fs、mod_headersなどを使用しているか
- .htaccessによるアクセス制御を多数のユーザーが編集できる環境かどうか(CVE-2026-44119の権限昇格リスク評価に関係)
情シスはどうすべきか
基本的な対応はApache HTTP Server 2.4.68へのアップデートです。OSパッケージ管理(apt / yum / dnf)経由でインストールしている場合はパッケージリポジトリの更新確認を行い、ソースからビルドしている場合は公式サイトから2.4.68を入手してビルドし直す手順になります。
対応の優先度を判断する材料として、JVNおよびIPAが公開しているアドバイザリを参照してください。
- JVNVU#99913823: Apache HTTP Server 2.4における複数の脆弱性に対するアップデート(2026年6月8日)
- Apache HTTP Server 2.4 vulnerabilities(Apache公式)
なお、IPA の「中小企業の情報セキュリティ対策ガイドライン」では、ソフトウェアの最新化を組織的な対策の基本として位置づけています。自社のパッチ適用プロセス(テスト環境での検証→本番展開→記録)が整備されているか、この機会に見直すことも有益です。
現場目線:「Apache、また来たか」と流さないために
Apache HTTP Serverの脆弱性情報は年に複数回届くため、担当者としては「また来たか」と慣れが生じやすい。しかし今回の13件には権限昇格(CVE-2026-44119)も含まれており、共有Webホスティング環境や、複数部署が.htaccessを管理している環境では特に注意が必要です。攻撃者がローカルユーザー権限を持っていれば利用できる経路であり、「外部からは届かないから後回し」という判断はリスクを過小評価する恐れがあります。
Apache 2.4.67が2026年5月4日リリースで、2.4.68が同年6月8日リリースと、わずか1か月強のインターバルです。Webサーバーの更新追跡を自動アラートで仕組み化していない場合は、今が整備の好機です。
まとめ
- Apache HTTP Server 2.4.68が2026年6月8日にリリース。2.4.67以前が影響対象の13件のCVEを一括修正。
- 権限昇格(CVE-2026-44119)やmod_http2のDoS(CVE-2026-49975)など実害につながりうる脆弱性が含まれる。
- 速やかに2.4.68へのアップデートを検討し、JVNおよびApache公式アドバイザリで詳細を確認すること。
