信頼度ランク
| S | 公式ソース確認済み |
| A | 成功実績多数・失敗例少数 |
| B | 賛否両論 |
| C | 動作未確認・セキュリティリスク高 |
| Z | 個人所感 |
Apache HTTP Server 2.4.67緊急パッチ——HTTP/2でのRCE(CVE-2026-23918)を含む3件のCVEを修正
2026年5月4日公開のApache HTTP Server 2.4.67はHTTP/2二重解放によるRCE・範囲外読み取り・認証タイミング攻撃の3CVEを修正。即時アップグレードが推奨される。
一言結論
Apache HTTP Server 2.4.67は2026年5月4日に公開され、HTTP/2実装の二重解放によるRCE(CVE-2026-23918)、ヌル終端不備による範囲外読み取り(CVE-2026-34032)、mod_auth_digestのタイミング攻撃(CVE-2026-33006)の3CVEを修正した。いずれも影響バージョンは2.4.66で、即時アップグレードが推奨される。
何が起きたか
2026年5月4日、Apache Software FoundationがApache HTTP Server 2.4.67をリリースし、前バージョン2.4.66に存在する複数の脆弱性を修正した。
| CVE | 深刻度 | 影響 | 場所 |
|---|---|---|---|
| CVE-2026-23918 | Critical | 二重解放→RCE可能性 | HTTP/2 (mod_http2) |
| CVE-2026-34032 | High | 範囲外読み取り・クラッシュ | Apache本体 |
| CVE-2026-33006 | Medium | タイミング攻撃→認証バイパス | mod_auth_digest |
Apache HTTP Serverは世界で最も広く使われているWebサーバーの一つであり、これらの脆弱性は膨大な数のサーバーに影響する。
CVE-2026-23918:HTTP/2二重解放によるRCE
脆弱性の仕組み
HTTP/2プロトコルの処理実装(mod_http2)における二重解放(Double Free)バグだ。クライアントが高負荷下で早期RSTフレームを送信すると、特定の条件下でメモリブロックが2回解放される。
通常のHTTP/2接続フロー:
クライアント → HEADERS フレーム (リクエスト開始)
サーバー → 処理開始
クライアント → RST_STREAM フレーム (ストリームキャンセル)
サーバー → メモリ解放 ← ここで二重解放が発生
攻撃者:
高負荷状態で RST_STREAM を精密なタイミングで送信
→ UAF (Use After Free) / 二重解放
→ ヒープ破壊→任意コード実行の可能性CVSSスコアについての注意
CVSSスコアの詳細は本記事執筆時点で未確認だが、**「possible RCE」**という分類はApache公式アドバイザリの記述に基づく。実際の悪用可能性はサーバー設定・OS・メモリ配置に依存し、すべてのケースでRCEが成立するわけではない。
対象バージョン
- Apache HTTP Server 2.4.66(2.4.67で修正)
CVE-2026-34032:ヌル終端不備による範囲外読み取り
概要
Apacheコア処理における不適切なヌル終端処理に起因する範囲外読み取りバグ。悪意あるリクエストを通じてサーバーメモリの一部をリークさせたり、クラッシュを引き起こせる可能性がある。
悪い例(概念的な疑似コード):
char buf[256];
strncpy(buf, user_input, 255);
// ❌ ヌル終端を保証していない
process(buf); // 範囲外読み取りが発生しうる
良い例:
char buf[256];
strncpy(buf, user_input, 255);
buf[255] = '\0'; // ✅ ヌル終端を明示的に保証
process(buf);対象バージョン
- Apache HTTP Server 2.4.66以下(
through 2.4.66として記載)
CVE-2026-33006:mod_auth_digestのタイミング攻撃
概要
mod_auth_digest(HTTPダイジェスト認証モジュール)におけるタイミングサイドチャネル攻撃。認証成功・失敗時の応答時間の差を利用して、有効なダイジェスト認証トークンを推測・バイパスできる。
なぜダイジェスト認証を使っているなら問題か
ダイジェスト認証はHTTP Basic認証よりは安全だが、現代の標準からすれば推奨されない仕組みだ。本CVEはダイジェスト認証を使い続けていることのリスクを再認識させる。
# ❌ 推奨しない(ダイジェスト認証 + 脆弱なApacheバージョン)
<Directory "/protected">
AuthType Digest
AuthName "Protected Area"
AuthDigestProvider file
AuthUserFile /etc/apache2/.htdigest
Require valid-user
</Directory>
# ✅ 推奨(TLS + Basic認証、または OAuth/OIDC プロキシ)
# ダイジェスト認証自体を廃止し、より現代的な認証機構に移行するアップグレード手順
Debian/Ubuntu系
# バージョン確認
apache2 -v
# アップグレード
sudo apt update
sudo apt upgrade apache2
# バージョン再確認
apache2 -v
# Server version: Apache/2.4.67 (Debian) ← 確認
# 設定テスト
sudo apache2ctl configtest
# リロード
sudo systemctl reload apache2RHEL/Amazon Linux系
# バージョン確認
httpd -v
# アップグレード
sudo yum update httpd
# または
sudo dnf update httpd
# サービス再起動
sudo systemctl restart httpdコンテナ環境(Docker)
# ❌ 古いベースイメージを固定している例
FROM httpd:2.4.66
# ✅ 最新パッチ適用済みイメージを使う
FROM httpd:2.4.67
# または常に最新を使うならタグなし(ただし再現性に注意)DockerHubのhttpd公式イメージは2.4.67ビルドが提供され次第更新される予定だ。CIパイプラインでイメージのバージョン固定をしている場合は更新が必要。
Apache HTTP Server 2.4.67のその他の修正
セキュリティパッチ以外に、2.4.67では以下も修正された(Apache 2.4 Change Logより):
mod_proxy_ajpのメモリ安全性改善(AJPパースの境界チェック強化)mod_dav_lockのNULLポインタ参照修正mod_mdの証明書更新バグ修正- サードパーティメモリアロケータとの競合解消
確認しておくべき設定
2.4.67へアップグレード後、以下の設定も見直す機会とすべきだ。
# 不要なモジュールを無効化(攻撃面の削減)
# mod_auth_digest を使っていない場合は無効化
LoadModule auth_digest_module # ← 不要なら削除
# ServerTokens でバージョン情報を隠す
ServerTokens Prod
ServerSignature Off
# HTTP/2の有効化確認(mod_http2 が最新かどうか)
Protocols h2 http/1.1まとめ
Apache HTTP Server 2.4.67はRCEの可能性を含む重要なセキュリティ修正を含む。Apache HTTPdは非常に多くのLinuxディストリビューションのデフォルトパッケージであるため、パッケージマネージャでの更新が通常最も安全かつ迅速な対応だ。HTTP/2を有効にしているサーバーは特にCVE-2026-23918の影響を受ける可能性があるため、最優先で確認すること。