「Apache httpd」にSSRFやセッションハイジャックなど複数脆弱性
ウェブサーバ「Apache HTTP Server」に複数の脆弱性が判明したとして、開発チームはセキュリティアップデートとなる「同2.4.64」をリリースした。
CVEベースで8件の脆弱性が明らかになり、対処したもの。重要度が「クリティカル(Critical)」や「高(High)」とされる脆弱性は含まれておらず、5件は「中(Moderate)」、のこる3件は「低(Low)」としている。
具体的には、HTTPレスポンスを分割できる脆弱性「CVE-2024-42516」や、「HTTP/2」において有効期限後もメモリを解放しないサービス拒否の脆弱性「CVE-2025-53020」、Windows版におけるサーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2024-43394」が明らかとなった。
モジュールの「mod_ssl」においてアクセス制御をバイパスされる「CVE-2025-23048」や、中間者攻撃によりHTTPセッションをハイジャックできる「CVE-2025-49812」が判明したほか、「mod_headers」「mod_proxy_http2」などで脆弱性が確認されている。
「CVE-2024-42516」については、以前「CVE-2023-38709」として「同2.4.59」で修正済みとされていたが、実際は未修正となっていた脆弱性としている。
開発チームでは、現地時間2025年7月10日に「同2.4.64」をリリースし、これら脆弱性を修正。利用者にアップデートを呼びかけている。今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2024-42516
CVE-2024-43204
CVE-2024-43394
CVE-2024-47252
CVE-2025-23048
CVE-2025-49630
CVE-2025-49812
CVE-2025-53020
(Security NEXT - 2025/07/11 )
ツイート
PR
関連記事
IBM「Jazz Team Server」に深刻な脆弱性 - 修正版がリリース
Salesforce「Tableau」に深刻な脆弱性 - 7月の更新で対応
「MS Edge」にアップデート - 脆弱性1件を解消
「Apache Tika」のPDF解析に深刻な脆弱性 - 早急に対応を
露攻撃グループ、「Cisco IOS」旧脆弱性を悪用 - 制御システムにも関心
「Cisco IOS」脆弱性、公表から7年後も攻撃が継続
iPhoneやMacなどApple製品の脆弱性悪用に注意喚起 - 米当局
ホスティング管理ツール「Plesk Obsidian」に脆弱性 - アップデートで修正
「Docker Desktop」に深刻な脆弱性 - コンテナからAPIアクセスのおそれ
「iPhone」「iPad」にアップデート - ゼロデイ脆弱性を修正