2025年7月10日、Apache Software FoundationはApache HTTP Server 2.4.64を正式リリースしました。
本バージョンでは、HTTPレスポンス分割、SSRF(サーバーサイドリクエストフォージェリ)、アクセス制御回避、DoS(サービス拒否)攻撃などに関する8件のセキュリティ脆弱性が修正されています。
Apache HTTP Serverは世界中のWebサーバーで広く使用されており、全Webサイトの約23%を支える中核インフラであることから、今回のアップデートは特に重要とされています。
主な脆弱性の内容と影響
以下は、今回修正された主な脆弱性の概要です
| CVE番号 | 内容 | 深刻度 |
|---|---|---|
| CVE-2024-42516 | HTTPレスポンス分割(リクエスト偽造、キャッシュ汚染に繋がる) | 中程度 |
| CVE-2024-43204 | SSRF(Content-Typeヘッダーを悪用) | 低 |
| CVE-2024-43394 | SSRF(Windows環境でのUNCパス経由、NTLM漏洩) | 中程度 |
| CVE-2025-23048 | TLS 1.3セッション再開によるアクセス制御バイパス | 中程度 |
| CVE-2025-53020 | HTTP/2におけるメモリ解放不備(DoS) | 中程度 |
| CVE-2025-49630 | mod_proxy_http2経由のDoS(PINGリクエスト) | 低 |
| CVE-2025-49812 | TLSアップグレードによるセッションハイジャック(中間者攻撃) | 中程度 |
| CVE-2024-47252 | mod_ssl におけるユーザ入力の不十分なエスケープ処理 | 低 |
特にCVE-2024-42516は、以前のバージョン(2.4.59)でも対応が不完全だった問題の修正版であり、レスポンス分割によるリクエスト偽造やキャッシュポイズニングのリスクが指摘されていました。
また、Windows環境でのSSRF(CVE-2024-43394)はNTLM認証情報が外部に送信される可能性がある深刻なリスクとして、企業環境での早急な対応が求められます。
これらの脆弱性を突かれると、次のような被害が想定されます:
-
攻撃者による機密情報の窃取
-
セッションハイジャックによる不正アクセス
-
サーバリソースの過剰消費による可用性低下
-
社内ネットワークへの不正な内部リクエスト
Apache HTTP Serverプロジェクトでは、バージョン2.4.x系全体で2024年以降に19件、2025年には4件の新たな脆弱性が報告されており、継続的なアップデートの重要性が高まっています。








