Apache Software Foundationは2026年6月8日、Apache HTTP Server 2.4.68をリリースした。今回の更新では13件のセキュリティ脆弱性(深刻度:Low〜Moderate)が修正されており、対象はバージョン2.4.0〜2.4.67と幅広い。また1か月前の2.4.67(2026年5月4日リリース)では、リモートコード実行(RCE)につながりうる重大な脆弱性CVE-2026-23918も修正済みだ。旧バージョンを使い続けている組織は今すぐ2.4.68へのアップデートを検討してほしい。
この記事でわかること
- Apache HTTP Server 2.4.68で修正された13件の脆弱性の種別と影響範囲
- 前月の2.4.67で修正されたRCE脆弱性(CVE-2026-23918)の概要
- 自社環境のバージョン確認方法と対応の優先度の判断材料
2026年5〜6月の修正内容:2バージョン連続で対応
今回の2.4.68リリースに先立ち、2026年5月4日にリリースされた2.4.67では、HTTP/2の処理におけるDouble FreeおよびRCE脆弱性(CVE-2026-23918、深刻度:Important)が修正されている。この脆弱性は攻撃者が特細工したHTTP/2フレームを送ることでヒープを破壊し、最悪の場合リモートコード実行を可能にするもので、影響を受けるバージョンは2.4.66のみだ。
続く6月8日の2.4.68では、2.4.0〜2.4.67に影響する13件の脆弱性を一括修正した。深刻度の内訳はModerate(中程度)が6件、Low(低)が7件で、緊急性の高いRCEは含まれないが、権限昇格やDoS、複数のバッファ操作系の不具合が含まれる。
主要な脆弱性の詳細
| CVE番号 | 深刻度 | 種別 | 影響バージョン | 概要 |
|---|---|---|---|---|
| CVE-2026-23918 | Important | Double Free / RCE | 2.4.66 | HTTP/2処理のDouble FreeによるRCEの可能性(2.4.67で修正済み) |
| CVE-2026-44119 | Moderate | 権限昇格 | 2.4.0〜2.4.67 | .htaccessの式を使い、httpd権限で任意ファイルを読み取り可能 |
| CVE-2026-49975 | Moderate | DoS(メモリ過剰割り当て) | 2.4.17〜2.4.67 | mod_http2が悪意あるHTTPリクエストでメモリを大量消費しDoS |
| CVE-2026-44186 | Moderate | DoS(無限ループ) | 2.4.0〜2.4.67 | mod_proxy_ftpが攻撃者制御のFTPバックエンドで無限ループ |
| CVE-2026-43951 | Moderate | 境界外読み取り | 2.4.0〜2.4.67 | mod_headers/mod_mimeで複数の応答言語がある場合にクラッシュ |
| CVE-2026-34355 | Moderate | バッファオーバーフロー | 2.4.0〜2.4.67 | mod_proxy_htmlで信頼できないバックエンドがバッファを溢れさせる |
| CVE-2026-42535 | Moderate | アクセス制御の不備 | 〜2.4.67 | WebDAVコンテンツ作成者がDAVプロパティDBを直接操作・子プロセスをクラッシュ可能 |
| CVE-2026-29167 | Low | Use-After-Free | 2.4.0〜2.4.67 | mod_ldapのper-directory設定でのUAF |
| CVE-2026-29170 | Low | XSS | 〜2.4.67 | mod_proxy_ftpのFTPディレクトリリスト生成時にスクリプト注入の可能性 |
| CVE-2026-42536 | Low | ヒープオーバーフロー | 2.4.0〜2.4.67 | mod_xml2encで信頼できないコンテンツによるヒープメモリ破損 |
| CVE-2026-44185 | Low | バッファ過剰読み取り | 2.4.0〜2.4.67 | mod_ssl OCSPの送信時に攻撃者制御のサーバーへのリクエストで発生 |
| CVE-2026-44631 | Low | ヒープアンダーフロー | 2.4.0〜2.4.67 | 設定ファイル内の不正な正規表現でメモリアクセス異常 |
| CVE-2026-48913 | Low | Use-After-Free | 2.4.55〜2.4.67 | mod_http2でファイルハンドル枯渇時にメモリ破損 |
影響を受ける環境はどれか
Apache HTTP ServerはオープンソースのWebサーバーとして、Linux/Unix系サーバーで広く使われているほか、Windows環境でも利用されている。企業の内部Webサービス、APIゲートウェイのリバースプロキシ、オープンソースのWebアプリケーション基盤など、実に多くの場面で動いているはずだ。
まず確認すべきは自社管理下のサーバーのApacheバージョンだ。以下のコマンドで確認できる:
httpd -v
# または
apache2 -v2.4.0〜2.4.67のいずれかを使用している場合は2.4.68への更新が必要だ。2.4.66以前のバージョンはRCE脆弱性CVE-2026-23918も抱えているため、より早急な対応が求められる。
なぜ「Moderate止まり」でも対応が必要か:現場目線の所感
13件すべての深刻度がLow〜Moderateと聞くと、「緊急度は低い」と判断したくなるかもしれない。しかし現場では少し違う見方をしたい。
権限昇格のCVE-2026-44119は「ローカルの.htaccess作成者」が前提条件とされているが、複数ユーザーが管理するサーバー環境やホスティング環境では、この条件はそれほど難しくない。httpdの実行ユーザー権限でファイルを読み取れるとなれば、設定ファイルや秘密鍵が漏えいするリスクがある。
またDoS系のCVE-2026-49975(mod_http2)は、HTTP/2を有効にしているサーバーならばリモートから悪意あるリクエスト1本で引き起こせる。可用性への影響が直接的だ。
Apache 2.4.68は機能的な変更が少なく、セキュリティ修正が主目的のリリースだ。アップデートリスクが比較的低い分、「週次メンテナンスのタイミングで適用する」くらいの優先度で動いていただきたいというのが率直な印象だ。
情シスはどうすべきか
IPAやJPCERT/CCからの個別注意喚起は現時点(2026年6月29日)では確認されていないが、Apache公式のセキュリティページが一次情報として信頼できる。まずは以下の流れで対応を進めてほしい。
- 棚卸し:社内・クラウド上のApache HTTPdを動かしているサーバーをすべてリストアップする(見落とし厳禁。ミドルウェアとして組み込まれているケースもある)
- バージョン確認:
httpd -vで2.4.68未満のバージョンを洗い出す - 優先度の判定:インターネット公開サーバーで2.4.66以前(RCE対象)→最優先。内部サーバーで2.4.67以前(Moderate/Low対象)→週次メンテナンスで対応
- 更新:パッケージ管理(
yum update httpd/apt upgrade apache2)または公式サイトからバイナリを取得してアップデート - 動作確認:更新後に主要なサービスの応答・ログを確認
脆弱性管理全般の体制整備については、IPAの「中小企業の情報セキュリティ対策ガイドライン」も参考になる:https://www.ipa.go.jp/security/guide/sme/index.html
まとめ
- Apache HTTP Server 2.4.68(2026年6月8日リリース)は13件のLow〜Moderate脆弱性を修正。影響は2.4.0〜2.4.67と幅広い。
- 前月の2.4.67ではRCEにつながりうる重大なCVE-2026-23918(HTTP/2 Double Free)も修正済みのため、2.4.66以前は特に早急な更新が必要。
- まず社内のApache管理対象サーバーをリストアップし、バージョン確認のうえ2.4.68へのアップデートを計画的に進めてほしい。
