Apacheが、人気のある2つのソフトウェアに対して、けっこう深刻なセキュリティ修正をまとめて出しました。
ひとことで言えば、「放置すると攻撃者にサーバーを壊されたり、最悪の場合は勝手にコードを実行されたりする」 という話です。
特に怖いのは、RCE(Remote Code Execution) です。これは日本語でいうと「遠隔から任意のコードを実行される」という意味で、要するに攻撃者がサーバーの中で好き勝手できる可能性がある、かなり危ない状態です。
個人的には、ここまで来ると「更新は後回しでいいかな」とは言いにくいレベルだと思います。むしろ、優先順位のかなり上に置くべき案件です。
Apache HTTP Server 2.4.67 では、11件の脆弱性が修正されました。しかもそのうち10件は過去の全バージョンに影響するとのことです。これは地味に嫌なやつです。古い環境ほど安心できない、というより「みんなまとめて見直してね」というメッセージに見えます。
主な内容は以下のとおりです。
HTTP/2 の処理にある double-free の不具合です。
double-free というのは、簡単にいうと「同じメモリ領域を2回解放してしまう」ミスで、プログラムが不安定になったり、悪用されるとRCEにつながったりします。
記事によると、攻撃者が early reset を引き起こすことで、DoS(Denial of Service)、つまりサービス停止状態を起こし、さらに任意コード実行の可能性まであるそうです。
AJP messages を使った攻撃で、heap buffer overflow を起こせる問題です。
heap buffer overflow は「メモリの確保領域に想定外のデータを書き込む」タイプのバグで、これもかなり危険です。
AJPは、Apacheとアプリケーションサーバー間で使われる通信方式の一つです。普段は表に出てこないけれど、こういう“裏方の通路”に穴があると、攻撃者にとってはおいしい入口になります。
以下の3件は、サービス停止につながる可能性があります。
DoSは「壊す」というより「混雑させて使えなくする」イメージです。
サーバーが落ちる、レスポンスが返らない、処理が詰まる、といった嫌な状況になります。
以下の4件は、情報漏えい(information disclosure)の可能性があります。
情報漏えいは、サーバー内部の情報や、公開したくないデータが外に見えてしまう問題です。
RCEほど派手ではないですが、後続攻撃の足がかりになりやすいので、これも軽く見ない方がいいです。
CVE-2026-33523 は、CRLF sequences の扱いに関する問題です。
CRLFは改行コードのようなものですが、これを悪用されると HTTPレスポンスを操作されるおそれがあります。
HTTPレスポンスをいじられると、キャッシュの混乱や、意図しない挙動につながることがあります。地味だけど、攻撃の仕込みとしては面白い部類です。もちろん、受ける側は全然面白くないですが。
CVE-2026-33006 は、timing side-channel weakness によって Digest authentication bypass につながる可能性があるとされています。
timing side-channel は、処理時間の差から秘密情報を推測するタイプの問題です。Digest authentication は認証方式の一つで、これを回避されると困ります。
今回もう一つのポイントは Apache MINA です。
Apacheは MINA 2.2.7 と 2.1.12 を公開し、2件のCritical脆弱性を修正しました。
MINAは、ネットワーク通信を扱うためのJava系ライブラリです。普段は一般ユーザーの目に触れないけれど、基盤側で使われていることが多いので、影響範囲が広がりやすいのが厄介です。
これは CVE-2026-41409 の incomplete fix、さらにその前段の CVE-2024-52046 に関係する問題です。
要するに、以前の修正がまだ甘かったという話です。
元になった問題は、insecure deserialization、つまり「信頼できないデータを危険な形で復元してしまう」脆弱性で、RCEにつながるおそれがあります。
この“修正したつもりだったのに、まだダメだった”系は、かなり怖いです。開発側も大変ですが、利用側としては「アップデートしたから安心」と油断しにくい。セキュリティの世界あるあるです。
こちらは CVE-2026-41635 の incomplete fix です。
improper check により allowlist bypass、そしてコード実行につながる可能性があります。
allowlist は「許可したものだけ通す」仕組みです。これを迂回されると、想定していないクラスや処理が通ってしまい、危険な動きに発展します。
Apacheは、MINAを更新しただけで終わりではないと注意しています。
アップグレード後は、ObjectSerializationDecoder インスタンスで、受け入れるクラスを明示的に許可する必要があるとのことです。
これはつまり、「何でもかんでも受け入れないで、許可リストをちゃんと設定してね」という話です。
こういう設定は少し面倒ですが、セキュリティの基本中の基本です。面倒なものほど大事、というのが実にセキュリティっぽいところだと思います。
今回のApacheの修正は、単なるメンテナンスではなく、かなり強めの緊急対応と見るべきだと思います。
HTTP ServerもMINAも、表立って派手な製品ではないかもしれませんが、だからこそ多くのシステムの土台に入っていて、影響が広がりやすいのが怖いところです。
特に注目したいのは次の3点です。
「とりあえずパッチを当てれば終わり」ではなく、設定の確認まで含めて対応が必要なのが今回のポイントです。
運用担当者にとってはひと手間増えますが、ここをサボると後でもっと面倒なことになりそうです。
参考: Critical, High-Severity Vulnerabilities Patched in Apache MINA, HTTP Server
