このドキュメントは 2026 年 5 月 4 日にリリースされた Apache httpd 2.4.67 のリリースノートの日本語訳です。
ダウンロードは Apache httpd ダウンロードより行えます。
以下はリリースの詳細と、最新情報およびドキュメントを補足するその他情報について記載しています。
脆弱性修正
- CVE-2026-34059: Apache HTTP Server: mod_proxy_ajp: ajp_parse_data() におけるヒープ領域の過剰読み取りおよびメモリ情報漏洩。Apache HTTP Server の mod_proxy_ajp におけるバッファ過剰読み取りの脆弱性です。この問題は Apache HTTP Server 2.4.66 まで影響します。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-34032: Apache HTTP Server: mod_proxy_ajp: NULL 終端チェック不足によるヒープバッファ過剰読み取り (ajp_msg_get_string)。Apache HTTP Server における不適切な NULL 終端処理および領域外読み取りの脆弱性です。この問題は Apache HTTP Server 2.4.66 まで影響します。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-33857: Apache HTTP Server: AJP 取得関数における Off-by-one の領域外読み取り。Apache HTTP Server の mod_proxy_ajp における領域外読み取りの脆弱性です。この問題は Apache HTTP Server 2.4.66 まで影響します。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-33523: Apache HTTP Server: 複数モジュールにおける HTTP レスポンス分割攻撃(悪意あるステータス行の転送)。信頼されていない、または侵害されたバックエンドサーバーを利用する複数の Apache HTTP Server モジュールにおいて、HTTP レスポンス分割の脆弱性が存在します。この問題は Apache HTTP Server 2.4.66 まで影響します。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-33007: Apache HTTP Server: mod_authn_socache クラッシュ。Apache HTTP Server 2.4.66 以前の mod_authn_socache における NULL ポインタ参照により、キャッシュフォワードプロキシ構成で認証されていないリモートユーザーが子プロセスをクラッシュさせる可能性があります。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-33006: Apache HTTP Server: mod_auth_digest タイミング攻撃。Apache HTTP Server 2.4.66 の mod_auth_digest に対するタイミング攻撃により、リモート攻撃者が Digest 認証を回避できる可能性があります。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-29169: Apache HTTP Server: mod_dav_lock 間接ロックによるクラッシュ。Apache HTTP Server 2.4.66 以前の mod_dav_lock における NULL ポインタ参照により、攻撃者が悪意のあるリクエストでサーバーをクラッシュさせる可能性があります。mod_dav_lock は mod_dav や mod_dav_fs では内部利用されておらず、既知の利用例は Apache Subversion 1.2.0 より前の mod_dav_svn のみです。この問題を修正したバージョン 2.4.67 へのアップグレード、または mod_dav_lock の削除を推奨します。
- CVE-2026-29168: Apache HTTP Server: mod_md における無制限な OCSP 応答処理。Apache HTTP Server の mod_md において、OCSP 応答データ経由でリソース制限やスロットリングが行われない脆弱性が存在します。この問題は Apache HTTP Server 2.4.30 から 2.4.66 まで影響します。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-28780: Apache HTTP Server: ajp_msg_check_header() を介した mod_proxy_ajp のバッファオーバーフロー。Apache HTTP Server の mod_proxy_ajp におけるヒープベースのバッファオーバーフロー脆弱性です。mod_proxy_ajp が悪意のある AJP サーバーへ接続した場合、そのサーバーが細工した AJP メッセージを返すことで、ヒープバッファ終端後に攻撃者制御の 4 バイトを書き込ませる可能性があります。この問題は Apache HTTP Server 2.4.66 まで影響します。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-24072: Apache HTTP Server: mod_rewrite における ap_expr 経由の権限昇格。Apache HTTP Server 2.4.66 以前の複数モジュールにおいて、ローカルの .htaccess 作成者が httpd ユーザー権限でファイルを読み取れる可能性があります。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
- CVE-2026-23918: Apache HTTP Server: HTTP/2 における二重解放および早期リセット時の RCE の可能性。Apache HTTP Server の HTTP/2 プロトコル実装において、二重解放およびリモートコード実行 (RCE) の可能性がある脆弱性です。この問題は Apache HTTP Server 2.4.66 に影響します。この問題を修正したバージョン 2.4.67 へのアップグレードを推奨します。
不具合修正
- mod_md: バージョン 2.6.10 にアップデート
– 証明書更新が完了したと記録されているものの、必要な結果ファイルが生成されていない問題(Issue #420 https://github.com/icing/mod_md/issues/420 ) について、job.json ファイルを無視するよう修正されました。
- mod_http2: バージョン 2.0.39 にアップデート
– サードパーティ製モジュールとの組み合わせで発生していたメモリ問題の報告を受け、ストリーム独自のメモリアロケータが削除されました。
- mod_http2: バージョン 2.0.38 にアップデート
– mod_h2 GitHub リポジトリとのソース同期が行われました。機能的な変更はありません。
- conf/mime.types 更新
– vnd.sqlite3、HEIC、HEIF の MIME タイプが追加されました。
- mod_md: バージョン 2.6.7 にアップデート
– MDStapleOthers の回帰不具合が修正されました。この問題は v2.6.0 で発生し、設定内容に関係なく適用されなくなっていました。
- mod_md: バージョン 2.6.9 にアップデート
– Pebble 2.9 以降で利用規約同意が未設定時に返される別エラーに対応し、すべての userActionRequired エラーを恒久的エラーとして扱うよう修正されました。
- mod_md: バージョン 2.6.8 にアップデート
– ACME オーダー作成時の ARI 関連 replaces プロパティについて、CA が ARI をサポートし、かつ設定で有効な場合のみ使用するよう修正されました。
– apr_cstr_casecmp を持たない APR 1.6.0 未満との互換性が修正され、代わりに apr_strnatcasecmp を利用するようになりました。
- mod_http2: バージョン 2.0.37 にアップデート
– ストリームの二重パージによる二重解放を防止するよう修正されました。(PR 69899)
- mod_md: APR 1.6.0 未満向けビルド時に、正しい関数名を使用するよう修正されました。(PR 69954)
詳細は以下をご覧ください。