1. /
  2. /
  3. Apache httpd 2.4.64 のリリースノート

Apache httpd 2.4.64 のリリースノート

このドキュメントは 2025 年 7 月 10 日にリリースされた Apache httpd 2.4.64 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。

脆弱性修正

  • CVE-2025-53020:Apache HTTP Server:メモリ使用量増加による HTTP/2 DoS。Apache HTTP Server における、有効期間経過後のメモリ解放遅延の脆弱性。この問題は、Apache HTTP Server 2.4.17 から 2.4.63 までのバージョンに影響します。この問題を修正したバージョン 2.4.64 へのアップグレードを推奨します。
  • CVE-2025-49812:Apache HTTP Server:mod_ssl TLS アップグレード攻撃。Apache HTTP Serverバージョン 2.4.63 までの一部 mod_ssl 構成において、HTTP 非同期攻撃により中間者攻撃者が TLS アップグレードを介して HTTP セッションを乗っ取ることが可能です。影響を受けるのは、「SSLEngine optional」を使用して TLS アップグレードを有効にしている構成のみです。TLS アップグレードのサポートを削除するバージョン 2.4.64 へのアップグレードを推奨します。
  • CVE-2025-49630: Apache HTTP Server: mod_proxy_http2 におけるサービス拒否攻撃。特定のプロキシ設定において、信頼できないクライアントが mod_proxy_http2 のアサーションを引き起こし、Apache HTTP Server バージョン 2.4.26 から 2.4.63 に対するサービス拒否攻撃を誘発する可能性があります。影響を受ける設定は、HTTP/2 バックエンドにリバースプロキシが設定され、ProxyPreserveHost が「on」に設定されていることです。
  • CVE-2025-23048: Apache HTTP Server: セッション再開による mod_ssl アクセス制御バイパス。Apache HTTP Server 2.4.35 から 2.4.62 の一部 mod_ssl 構成では、TLS 1.3 セッション再開を使用して、信頼されたクライアントによるアクセス制御バイパスが可能です。mod_ssl が複数の仮想ホストに対して設定され、各仮想ホストがそれぞれ異なる信頼されたクライアント証明書セットに制限されている場合 (例えば、異なる SSLCACertificateFile/Path 設定)の構成で影響を受けます。このような場合、いずれかの仮想ホストで SSLStrictSNIVHostCheck が有効になっていないと、ある仮想ホストへのアクセスが信頼されているクライアントが、別の仮想ホストにアクセスできる可能性があります。
  • CVE-2024-47252: Apache HTTP Server: mod_ssl エラーログ変数のエスケープ。Apache HTTP Server 2.4.63 以前の mod_ssl において、ユーザー提供データのエスケープ処理が不十分なため、一部の設定において、信頼できない SSL/TLS クライアントがログファイルにエスケープ文字を挿入できる可能性があります。SSL_TLS_SNI など、mod_ssl が提供する変数をログに記録するために CustomLog を “%{varname}x” または “%{varname}c” と共に使用するログ設定では、mod_log_config または mod_ssl のいずれによってもエスケープ処理が実行されず、クライアントから提供されたサニタイズされていないデータがログファイルに記録される可能性があります。
  • CVE-2024-43394: Apache HTTP Server: UNC パスに起因する Windows 上の SSRF。Windows 上の Apache HTTP Server におけるサーバー側リクエストフォージェリ (SSRF) により、mod_rewrite または検証されていないリクエスト入力を渡す Apache 式を介して、悪意のあるサーバーに NTLM ハッシュが漏洩する可能性があります。この問題は、Apache HTTP Server 2.4.0 から 2.4.63 に影響します。注: Apache HTTP Server プロジェクトは、UNC パスを介した SSRF に関する脆弱性報告の受け入れ基準を引き上げます。サーバーは、管理者がサーバーに UNC パスを開くように指示することに対して限定的な保護を提供します。Windows サーバーは、NTLM 認証の性質に基づいて、SMB 経由で接続するホストを制限する必要があります。
  • CVE-2024-43204: Apache HTTP Server: mod_headers による Content-Type ヘッダー設定における SSRF。mod_proxy がロードされた Apache HTTP Server の SSRF により、攻撃者は自身の管理下にある URL にプロキシリクエストを送信できます。この脆弱性を悪用するには、mod_headers が HTTP リクエストで指定された値を使用して Content-Type リクエストまたはレスポンスヘッダーを変更するという、想定外の設定が必要となります。この問題を修正したバージョン 2.4.64 へのアップグレードを推奨します。
  • CVE-2024-42516:Apache HTTP Server:HTTP レスポンス分割。Apache HTTP Server のコア部分に存在する HTTP レスポンス分割により、サーバーでホストまたはプロキシされているアプリケーションの Content-Type レスポンスヘッダーを操作できる攻撃者が、HTTP レスポンスを分割できる可能性があります。この脆弱性は CVE-2023-38709 として報告されていますが、Apache HTTP Server 2.4.59 に含まれるパッチではこの問題は修正されていません。この問題を修正したバージョン 2.4.64 へのアップグレードを推奨します。

不具合修正

  • mod_proxy_ajp: IO バッファサイズにはワーカーレベルで設定された iobuffersize を使用するようになりました。(PR 69402)
  • mod_ssl: libssl でネイティブに有効化されている OpenSSL 3.5 ビルドにおいて、$SSLKEYLOGFILE の処理を内部的に削除するようになりました。
  • mod_asis: メッセージ AH01236 のログレベルが修正されました。
  • mod_session_dbd: SessionDBDCookieName および SessionDBDCookieName2 で使用されるフォーマットが正しいことを確認するようになりました。
  • mod_headers: “RequestHeader set|edit|edit_r Content-Type X” は、Content-Type _response_ ヘッダーを誤って変更する可能性がありました。Content-Type のみに適用され、静的ファイルレスポンスにのみ影響する可能性がありました。
  • mod_ssl: プロトコル選択前に SSL プロトコルの値が初期化されていない可能性があることに関する警告が削除されました。
  • mod_proxy: 2.4.59 以前と同様に、可能な場合は ProxyRemote 接続を再利用するようになりました。
  • mod_systemd: systemd ソケットアクティベーションのサポートが追加されました。
  • mod_systemd: SELinux コンテキストが有効であれば、起動時にログに記録するようになりました。
  • mod_http2: バージョン 2.0.32 のアップデートで、接続ウィンドウサイズを設定するコードが間違っていたため、H2WindowSize が動作しないようになっていました。この問題が修正されました。
  • mod_http2: バージョン 2.0.30 のアップデート

– 長いレスポンスヘッダーの処理に関するバグを修正しました。nghttp2 の 64KB 制限を超えた場合、リクエストがリセットされず、クライアントが待機状態のままになっていました。ストリームがリセットされるようになりました。
– レスポンスヘッダーのサイズ制限を設定するための新しいディレクティブ H2MaxHeaderBlockLen が追加されました。
– 接続の最初のリクエストがリセットされた際の Timeout と KeepAliveTimeout の処理が修正されました。

  • mod_lua: LuaOutputFilter のメモリ処理が修正されました。(PR 69590)
  • mod_proxy_http2: バックエンド接続の切断を検出するために r1912193 を元に戻しました。この修正により、応答のないノードのバックエンド選択が妨げられていました。
  • mod_proxy_balancer: URL 内のクエリパラメータとしてスティッキーセッションキーが指定された場合、スティッキーセッションキーが認識されなくなるリグレッションが修正されました。(PR 69443)
  • mod_md: バージョン 2.5.2 のアップデート

– 複数の MDPrivateKeys で EC キーが RSA キーよりも先に指定されている場合に発生する TLS-ALPN-01 チャレンジが修正されました。
– ステータスページ出力で改行が欠落していた問題が修正されました。

  • mod_dav: DavBasePath 設定を公開する API が追加されました。
  • mod_md: バージョン 2.5.1 のアップデート

– 新しいディレクティブ MDProfile および MDProfileMandatory により、ACME プロファイルのサポートが追加されました。
– MDCACertificateFile 経由でカスタム CA ファイルをインストールする際、libcurl オプション CURLSSLOPT_NO_REVOKE も設定します。これにより、Schannel(curl がリンクされている場合)が証明書に CRL/OCSP が存在しないというエラーを出力しなくなります。
– 破損した httpd.json の処理を修正し、テスト 300_30 を追加しました。エラー発生時にファイルは削除され、再度書き込まれます。
– md_store.json を解析できず、サーバーの起動が妨げられていた場合の対処方法がログに追加されました。
– Apache SVN との同期で失われていた修正が復元されました。
– md-status ハンドラの証明書情報に Issue Name/URI が追加されました。
– 静的証明書ファイルを持つ MDomain では、”always” が設定されていない限り、MDRenewModeが “manual” になります。

  • core: AllowOverride ディレクティブの解析時に、無効な Options= 引数が報告されるようになりました。
  • scoreboard/mod_http2: HTTP/2 リクエストの所要時間を記録するようになりました。(PR 69579)

詳細は以下をご覧ください。

https://downloads.apache.org/httpd/CHANGES_2.4

関連記事:

  1. Apache httpd 2.4.63 のリリースノート
  2. Apache httpd 2.4.57 のリリースノート
  3. Apache httpd 2.4.55 のリリースノート
  4. Apache httpd 2.4.54 のリリースノート