Apacheの脆弱性(Moderate: CVE-2026-34355, CVE-2026-42535, CVE-2026-43951, CVE-2026-44119, CVE-2026-44186, CVE-2026-49975, Low:複数)と2.4.68リリース

06/09/2026にApacheの脆弱性(Moderate: CVE-2026-34355, CVE-2026-42535, CVE-2026-43951, CVE-2026-44119, CVE-2026-44186, CVE-2026-49975, Low: CVE-2026-29167, CVE-2026-29170, CVE-2026-34356, CVE-2026-42536, CVE-2026-44185, CVE-2026-44631, CVE-2026-48913)と新バージョン(2.4.68)が公開されました。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。

[過去関連リンク(最新5件)]

CVSS/プライオリティ

  • CVE-2026-29167
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-29170
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-34355
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-34356
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-42535
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-42536
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-43951
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-44119
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-44185
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-44186
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-44631
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-48913
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): Not disclosed
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available
  • CVE-2026-49975
    • 影響するバージョン
      • N/A
    • Priority/CVSS SCORE
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): 7.5 : Important
    • CVSS Vector
      • NVD(CVSSv4): Not disclosed
      • NVD(CVSSv31): Not disclosed
      • Red Hat(CVSSv4): Not disclosed
      • Red Hat(CVSSv31): CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
    • EPSS Score/Percentile
      • DATE(JST): 2026-06-08
      • EPSS: Not Available
      • Percentile: Not Available

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • https://www.cve.org/CVERecord?id=CVE-2026-29167
    • Apache HTTP Server: mod_ldapのディレクトリごとの設定によるuse-after-free
    • Apache HTTP Server 2.4.67以前のmod_ldapでは、ディレクトリごとに設定している場合に、Use-After-Freeの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-29170
    • Apache HTTP Server: mod_proxy_ftpでのクロスサイトスクリプティング
    • Apache HTTP Server 2.4.67以前のmod_proxy_ftpでは、フォワードまたはリバースプロキシの設定を介してFTPディレクトリのコンテンツを一覧表示する際、HTMLディレクトリリストの生成処理時にクロスサイトスクリプティングの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-34355
    • Apache HTTP Server: mod_proxy_htmlのバッファーオーバーフロー
    • Apache HTTP Server 2.4.67以前のmod_proxy_htmlでは、信頼できないバックエンドによるバッファーオーバーフローの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-34356
    • Apache HTTP Server: ProxyPassReverseCookieMapのバッファーオーバーフロー
    • Apache HTTP Server 2.4.0から2.4.67まででは、悪意のあるバックエンドサーバーとProxyPassReverseCookieによるバッファーオーバーフローの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-42535
    • Apache HTTP Server: mod_dav_fs の保護されたディレクトリアクセス
    • Apache HTTP Server 2.4.67以前のmod_dav_fsには、パス処理の不備により、WebDAVコンテンツ作成者が信頼されたDAVプロパティデータベースを直接操作でき、これにより子プロセスがクラッシュする可能性があります。
  • https://www.cve.org/CVERecord?id=CVE-2026-42536
    • Apache HTTP Server: mod_xml2enc ヒープオーバーフロー
    • Apache HTTP Server 2.4.67以前のmod_xml2encおよびxml2StartParseには、信頼できないコンテンツによるヒープベースのバッファオーバーフローの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-43951
    • Apache HTTP Server: 「merge_response_headers」による境界外読み込みの結果のクラッシュ
    • Apache HTTP Serverでmod_headers, mod_mime, および複数のレスポンス言語を使用する場合には、境界外読み込みの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-44119
    • Apache HTTP Server: 複数のモジュールでの.htaccessにある式による権限昇格
    • Apache HTTP Server 2.4.67以前のバージョンでの不適切な権限管理の脆弱性により、ローカルの.htaccess作成者がhttpdユーザーの権限でファイルを読み取ることが可能になります。
  • https://www.cve.org/CVERecord?id=CVE-2026-44185
    • Apache HTTP Server: mod_ssl OCSP `send_request`でのスタックバッファーオーバーリード
    • 攻撃者が制御するOCSPサーバーへのアウトバウンドOCSPリクエストを介した場合、Apache HTTP Serverにおいてバッファオーバーリードの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-44186
    • Apache HTTP Server: mod_proxy_ftpでの「proxy_ftp_handler」のループ
    • 攻撃者が制御するバックエンドFTPサーバーを使用するApache HTTP Serverにおいて、mod_proxy_ftpモジュールにおける、到達不可能な終了条件を伴うループ(無限ループ)の脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-44631
    • Apache HTTP Server: 符号付き文字型オーバーフローを用いた「ap_regname」でのヒープアンダーフロー
    • Apache HTTP Serverでは、設定内の細工された正規表現に起因するヒープアンダーフローの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-48913
    • Apache HTTP Server: ファイルハンドルの枯渇時におけるmod_http2のメモリ破壊
    • ファイルハンドルが枯渇している状況下では、Apache HTTP Serverのモジュール「mod_http2」のUse After Freeの脆弱性が存在します。
  • https://www.cve.org/CVERecord?id=CVE-2026-49975
    • Apache HTTP Server: mod_http2のDoS
    • Apache HTTP Serverのmod_httpでは、過大なサイズ値を用いたメモリ割り当ての脆弱性が存在し、悪意のあるHTTPリクエストを介したサービス拒否(DoS)につながる可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

[参考]

タイトルとURLをコピーしました