「Apache httpd」にSSRFやセッションハイジャックなど複数脆弱性
ウェブサーバ「Apache HTTP Server」に複数の脆弱性が判明したとして、開発チームはセキュリティアップデートとなる「同2.4.64」をリリースした。
CVEベースで8件の脆弱性が明らかになり、対処したもの。重要度が「クリティカル(Critical)」や「高(High)」とされる脆弱性は含まれておらず、5件は「中(Moderate)」、のこる3件は「低(Low)」としている。
具体的には、HTTPレスポンスを分割できる脆弱性「CVE-2024-42516」や、「HTTP/2」において有効期限後もメモリを解放しないサービス拒否の脆弱性「CVE-2025-53020」、Windows版におけるサーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2024-43394」が明らかとなった。
モジュールの「mod_ssl」においてアクセス制御をバイパスされる「CVE-2025-23048」や、中間者攻撃によりHTTPセッションをハイジャックできる「CVE-2025-49812」が判明したほか、「mod_headers」「mod_proxy_http2」などで脆弱性が確認されている。
「CVE-2024-42516」については、以前「CVE-2023-38709」として「同2.4.59」で修正済みとされていたが、実際は未修正となっていた脆弱性としている。
開発チームでは、現地時間2025年7月10日に「同2.4.64」をリリースし、これら脆弱性を修正。利用者にアップデートを呼びかけている。今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2024-42516
CVE-2024-43204
CVE-2024-43394
CVE-2024-47252
CVE-2025-23048
CVE-2025-49630
CVE-2025-49812
CVE-2025-53020
(Security NEXT - 2025/07/11 )
ツイート
PR
関連記事
「Apache Tomcat」にアップデート - 複数脆弱性を修正
SAP、月例アドバイザリ31件を公開 - 「クリティカル」6件
米当局、「Citrix Bleed 2」の悪用に注意喚起
ビデオ会議のZoom、クライアントの複数脆弱性を解消
脆弱性4件を修正、「rsync」の深刻な脆弱性も解消 - GitLab
「PAN-OS」「GlobalProtect App」など複数製品の脆弱性を解消 - Palo Alto
「EPM」や「EPMM」などIvanti複数製品に脆弱性 - 悪用は未確認
Adobe製フォーム作成管理ツールに悪用リスク高い脆弱性
「Adobe ColdFusion」に深刻な脆弱性 - 緊急アップデートを
MS、7月の月例セキュリティパッチを公開 - 前月の約2倍