つみかさね

CVE-2026-28780

Critical(9.8)

Apache HTTP Serverのヒープオーバーフロー CVE-2026-28780:影響範囲と対応方法

公開日: 2026-07-09データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache HTTP ServerApache Software Foundation2.4.66 以前(mod_proxy_ajp 使用時)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Apache HTTP Server のバージョンを確認する(httpd -v / apache2 -v)
  2. 2mod_proxy_ajp が有効か確認する(httpd -M | grep proxy_ajp)
  3. 3影響を受ける場合は Apache HTTP Server 2.4.67 以降へアップグレードする
  4. 4アップグレードが困難な場合は mod_proxy_ajp を無効化し AJP バックエンドへのアクセスをネットワークで制限する

影響対象

Apache HTTP Server 2.4.66以前でmod_proxy_ajpを使用している環境

補足

  • -AJP は通常内部ネットワークで使用されるため、mod_proxy_ajp を使用していない環境では影響なし
  • -Tomcat との AJP 連携を使用している場合は特に注意が必要
CVEApachemod_proxy_ajpヒープオーバーフローRCE

30秒で判断

対応すべき人:

  • Apache HTTP Server 2.4.66 以前を運用しており、mod_proxy_ajp を有効にしている
  • Apache と Tomcat を AJP プロトコルで連携している構成

対応不要な人(skipIf):

  • Apache HTTP Server を使用していない
  • Apache HTTP Server 2.4.67 以降を使用している
  • mod_proxy_ajp モジュールを無効にしているか、AJP バックエンドに接続していない

確認コマンド:

# Apache バージョン確認
httpd -v
apache2 -v

# mod_proxy_ajp が有効か確認
httpd -M 2>&1 | grep proxy_ajp
apache2ctl -M 2>&1 | grep proxy_ajp

概要

Apache HTTP Server の mod_proxy_ajp モジュールに、ヒープバッファオーバーフローの脆弱性が存在します(CVE-2026-28780)。

mod_proxy_ajp は Apache HTTP Server が AJP(Apache JServ Protocol)を使用してバックエンドサーバー(主に Tomcat)と通信するためのモジュールです。この脆弱性では、悪意のある AJP サーバーが細工した AJP メッセージを返すことで、mod_proxy_ajp がヒープメモリの末尾に攻撃者が制御する4バイトを書き込む可能性があります。

この「書き込み先オーバー」は、理論上リモートコード実行や DoS につながる可能性があります。AJP は通常内部ネットワークで使用されますが、中間者攻撃やバックエンドサーバーの侵害を前提とした2段階攻撃シナリオが考えられます。

CVSSベクトル

指標説明
Attack Vector (AV)Networkネットワーク経由で攻撃可能
Attack Complexity (AC)Low特別な条件不要
Privileges Required (PR)None認証不要
User Interaction (UI)Noneユーザー操作不要
Scope (S)Unchanged
Confidentiality (C)High情報漏洩の可能性
Integrity (I)Highデータ改ざんの可能性
Availability (A)HighDoS の可能性

CVSSスコア: 9.8 (CRITICAL)

影響を受けるソフトウェア

製品影響を受けるバージョン修正バージョン
Apache HTTP Server2.4.66 以前2.4.67 以降

修正バージョンと回避策

推奨対応: Apache HTTP Server を 2.4.67 以降にアップグレードしてください。

# パッケージマネージャー経由でのアップデート(例: Ubuntu/Debian)
sudo apt update && sudo apt upgrade apache2

# Red Hat / CentOS 系
sudo yum update httpd
# または
sudo dnf update httpd

# バージョン確認
apache2 -v

即時アップグレードが困難な場合の回避策:

  • mod_proxy_ajp モジュールを無効化する(AJP を使用していない場合)
  • AJP バックエンドを信頼できるネットワークに限定する
# mod_proxy_ajp を無効化(再起動が必要)
a2dismod proxy_ajp
systemctl restart apache2

関連リンク


データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。