JVNDB-2026-015084
|
Apache HTTP Server 2.4における複数の脆弱性に対するアップデート(2026年5月)
|
|
The Apache Software Foundationから、Apache HTTP Server 2.4系における複数の脆弱性に対応したApache HTTP Server 2.4.67が公開されました。- HTTP/2処理時の二重解放(CVE-2026-23918)
- mod_rewriteにおける権限昇格(CVE-2026-24072)
- mod_proxy_ajpにおけるバッファオーバーフロー(CVE-2026-28780)
- mod_mdにおけるOCSP応答処理の不備(CVE-2026-29168)
- mod_dav_lockにおけるNULLポインタ参照(CVE-2026-29169)
- mod_auth_digestにおいてタイミング攻撃が可能となる問題(CVE-2026-33006)
- mod_authn_socacheにおけるNULLポインタ参照(CVE-2026-33007)
- バックエンドサーバからのステータス行処理の不備によりHTTPレスポンスが分割される問題(CVE-2026-33523)
- mod_proxy_ajpにおける境界外読み取り(CVE-2026-33857)
- mod_proxy_ajpにおけるNULL終端チェック不備による境界外読み取り(CVE-2026-34032)
- mod_proxy_ajpにおけるヒープメモリの境界外読み取り(CVE-2026-34059)
|
|
|
|
|
Apache Software Foundation
- Apache HTTP Server 2.4.66 - CVE-2026-23918
- Apache HTTP Server 2.4.66およびそれ以前 - CVE-2026-24072、CVE-2026-28780、CVE-2026-29169、CVE-2026-33006、CVE-2026-33857、CVE-2026-34032、CVE-2026-34059
- Apache HTTP Server 2.4.30から2.4.66まで - CVE-2026-29168
- Apache HTTP Server 2.4.0から2.4.66まで - CVE-2026-33007、CVE-2026-33523
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。- サービス運用妨害(DoS)状態にされたり、任意のコードが実行されたりする(CVE-2026-23918)
- ローカルの .htaccess 作成権限を持つ攻撃者によって、httpd ユーザー権限でファイルが読み取られる(CVE-2026-24072)
- 悪意のある AJP サーバーと接続した場合、サービス運用妨害(DoS)が引き起こされる(CVE-2026-28780)
- 過剰なリソース消費が引き起こされる(CVE-2026-29168)
- サービス運用妨害(DoS)が引き起こされる(CVE-2026-29169)
- Digest認証が回避される(CVE-2026-33006)
- キャッシングフォワードプロキシ構成において、子プロセスがクラッシュさせられる(CVE-2026-33007)
- HTTP レスポンス分割攻撃を受ける(CVE-2026-33523)
- メモリ内の情報が漏えいする(CVE-2026-33857)
- メモリ内の情報が漏えいする(CVE-2026-34032)
- メモリ内の情報が漏えいする(CVE-2026-34059)
|
|
[アップデートする]
開発者が提供する情報をもとに最新版へアップデートしてください。
|
|
Apache Software Foundation
|
|
|
|
- CVE-2026-23918
- CVE-2026-24072
- CVE-2026-28780
- CVE-2026-29168
- CVE-2026-29169
- CVE-2026-33006
- CVE-2026-33007
- CVE-2026-33523
- CVE-2026-33857
- CVE-2026-34032
- CVE-2026-34059
|
|
- JVN : JVNVU#99705957
|
|
|
