Apache HTTP Server 2.4.64 が公開、8件の脆弱性に対処 SSRF・DoS・セッションハイジャックなど修正

セキュリティニュース

投稿日時: 更新日時:

Apache HTTP Server 2.4.64 が公開、8件の脆弱性に対処 SSRF・DoS・セッションハイジャックなど修正

2025年7月10日、Apache Software FoundationはApache HTTP Server 2.4.64を正式リリースしました。

本バージョンでは、HTTPレスポンス分割、SSRF(サーバーサイドリクエストフォージェリ)、アクセス制御回避、DoS(サービス拒否)攻撃などに関する8件のセキュリティ脆弱性が修正されています。

Apache HTTP Serverは世界中のWebサーバーで広く使用されており、全Webサイトの約23%を支える中核インフラであることから、今回のアップデートは特に重要とされています。

主な脆弱性の内容と影響

以下は、今回修正された主な脆弱性の概要です

CVE番号 内容 深刻度
CVE-2024-42516 HTTPレスポンス分割(リクエスト偽造、キャッシュ汚染に繋がる) 中程度
CVE-2024-43204 SSRF(Content-Typeヘッダーを悪用)
CVE-2024-43394 SSRF(Windows環境でのUNCパス経由、NTLM漏洩) 中程度
CVE-2025-23048 TLS 1.3セッション再開によるアクセス制御バイパス 中程度
CVE-2025-53020 HTTP/2におけるメモリ解放不備(DoS) 中程度
CVE-2025-49630 mod_proxy_http2経由のDoS(PINGリクエスト)
CVE-2025-49812 TLSアップグレードによるセッションハイジャック(中間者攻撃) 中程度
CVE-2024-47252 mod_ssl におけるユーザ入力の不十分なエスケープ処理

特にCVE-2024-42516は、以前のバージョン(2.4.59)でも対応が不完全だった問題の修正版であり、レスポンス分割によるリクエスト偽造やキャッシュポイズニングのリスクが指摘されていました。

また、Windows環境でのSSRF(CVE-2024-43394)はNTLM認証情報が外部に送信される可能性がある深刻なリスクとして、企業環境での早急な対応が求められます。

これらの脆弱性を突かれると、次のような被害が想定されます:

  • 攻撃者による機密情報の窃取

  • セッションハイジャックによる不正アクセス

  • サーバリソースの過剰消費による可用性低下

  • 社内ネットワークへの不正な内部リクエスト

Apache HTTP Serverプロジェクトでは、バージョン2.4.x系全体で2024年以降に19件、2025年には4件の新たな脆弱性が報告されており、継続的なアップデートの重要性が高まっています。