1. ホーム /
  2. Apache httpd /
  3. Apache httpd 2.4.66 のリリースノート

Apache httpd 2.4.66 のリリースノート

このドキュメントは 2025 年 12 月 4 日にリリースされた Apache httpd 2.4.66 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。

脆弱性修正

  • CVE-2025-66200: Apache HTTP Server: mod_userdir+suexec バイパス (AllowOverride FileInfo 経由)。
    Apache HTTP Server における mod_userdir+suexec の AllowOverride FileInfo 脆弱性によるバイパス。htaccess で RequestHeader ディレクティブを使用できるユーザーは、一部の CGI スクリプトを予期しないユーザー ID で実行させる可能性があります。この問題は、Apache HTTP Server 2.4.7 から 2.4.65 までに影響します。
  • CVE-2025-65082: Apache HTTP Server: CGI 環境変数の上書き。
    Apache HTTP サーバーにおけるエスケープシーケンス、メタシーケンス、または制御シーケンスの不適切な無効化に関する脆弱性。これは、Apache 設定を介して設定された環境変数が、サーバーが CGI プログラム用に計算した変数を予期せず上書きすることによって発生します。この問題は、Apache HTTP Server 2.4.0 から 2.4.65 までに影響します。
  • CVE-2025-59775: Apache HTTP Server: UNC SSRF を介した Windows での NTLM 漏洩。
    Windows 版 Apache HTTP Server において、AllowEncodedSlashes が有効かつ MergeSlashes が無効になっている場合、SSRF と悪意のあるリクエストまたはコンテンツを介して、NTLM ハッシュが悪意のあるサーバーに漏洩する可能性のあるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性が存在します。
  • CVE-2025-58098: Apache HTTP Server: Server Side Include が #exec cmd=… にクエリ文字列を追加する。
    Apache HTTP Server 2.4.65 以前で Server Side Include (SSI) が有効になっており、mod_cgid (mod_cgi は無効) がシェルエスケープされたクエリ文字列を #exec cmd=”…” ディレクティブに渡します。この問題は Apache HTTP Server 2.4.66 より前のバージョンに影響します。
  • CVE-2025-55753: Apache HTTP Server: mod_md(ACME)、意図しない再試行間隔。
    ACME 証明書の更新に失敗した際に発生する整数オーバーフローにより、一定回数(デフォルト設定で約30日間)更新が失敗すると、バックオフタイマーが 0 になります。その後、証明書の更新は成功するまで遅延なく繰り返されます。この問題は Apache HTTP Server 2.4.30 以降、2.4.66 以前で発生します。

 

不具合修正

  • mod_http2: mod_cache からの 304 レスポンスの処理が修正されました。(PR 69580)
  • mod_http2/mod_proxy_http2: プッシュダイアリーとプロキシウィンドウサイズの計算で使用される整数の log2 値の計算に関するバグが修正されました。(PR 69741)
  • mod_md: バージョン 2.6.5 にアップデート
    – サーバーの再起動後、証明書の更新チェックを行うまでの待機時間を制御するための新しい MDInitialDelay ディレクティブが追加されました。
    – 強化: OpenSSL 1.0.2 より前のバージョン、または古いバージョンの libressl でビルドした場合、ASN.1 時刻文字列の解析で長さチェックが行われていませんでした。
    – 強化: ローカル JSON ストアに保存された OCSP 応答を読み戻す際に、「valid」キーが見つからないと値が初期化されず、誤った更新動作が発生していました。
  • mod_md: バージョン 2.6.6 にアップデート
    – OpenSSL の BIGNUM 使用時に発生する小さなメモリリークが修正されました。
    – curl の easy ハンドルの再利用をリセットすることで修正されました。
  • mod_http2: バージョン 2.0.35 にアップデート
    – 接続を閉じる前にクライアントの不正な動作をどの程度許容するかを制御するための新しい H2MaxStreamErrors ディレクティブが追加されました。
  • mod_proxy_http2: ProxyErrorOverride ディレクティブのサポートが追加されました。(PR 69771)
  • mpm_common: listen ソケットの TCP_DEFER_ACCEPT ソケットオプションの値を指定できる新しい ListenTCPDeferAccept ディレクティブが追加されました。
  • mod_ssl: 仮想ホスト互換性ポリシーを制御する SSLVHostSNIPolicy ディレクティブが追加されました。(PR 69743)
  • mod_md: バージョン 2.6.2 にアップデート
    – エラー再試行遅延の計算を修正し、最初のエラー発生時に待機時間が倍増しないようにされました。
  • mod_md: バージョン 2.6.1 にアップデート
    – ACME CA の更新エラー時に発生するバースト的なトラフィックを軽減するため、デフォルトの MDRetryDelay が 30 秒に増やされました。これにより、エラー再試行の間隔は 30 秒、1 分、2 分、4 分などから、最大で毎日試行できるようになります。
    – MDRetryDelay の設定で、有効な期間になることを確認しました。遅延時間が 0 は受け入れられません。
    – ACME サーバーからの応答の Content-Type チェックに関するバグが修正されました。
    – モジュールに ACME ARI サポート (rfc9773) が追加されました。デフォルトで有効です。これを制御する新しい MDRenewViaARI on|off ディレクティブが追加されました。
    – tailscale のサポートが削除されました。これは、同社が API の変更を決定したため、長い間機能していませんでした。デッドコード、ドキュメント、テストは廃止しました。
    – libcurl のプレインダストリアルバージョンでのコンパイル問題が修正されました。

詳細は以下をご覧ください。
https://downloads.apache.org/httpd/CHANGES_2.4

関連記事:

  1. Apache httpd 2.4.65 のリリースノート
  2. Apache httpd 2.4.57 のリリースノート
  3. Apache httpd 2.4.55 のリリースノート
  4. Apache httpd 2.4.54 のリリースノート