【2024年9月版】Apacheのバージョン情報とサポート期限

皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月13日に執筆しています。

今回はApache HTTP Server(以下「Apache」とします)のバージョン情報とサポート期限についてまとめてみたいと思います。

Apache(アパッチ)は、Apache Software Foundation (以下「ASF」とします)が開発やサポートを継続しているオープンソースのWebサーバーソフトウェアであり、W3Techs - World Wide Web Technology Surveysによれば、現時点で世界ナンバー2のシェアを有しています。

Webサーバーソフトウェアの分野では、2021年ごろにNginxがApacheを抜いてシェア1位となるまで、Apacheが長年1位を維持してきました。
現在でも29%のシェアを有するメジャーなWebサーバーソフトウェアです。

安全で円滑なWebサイトの運用のためには、WebサーバーソフトウェアであるApacheについても最新バージョンへのアップデートが欠かせません。
一方で、不用意なアップデートによってWebサイトが表示されないといった不具合が起こる可能性もあります。

この記事ではApacheのバージョン情報とサポート期限についてまとめた上で、Apacheの脆弱性についてもご紹介したいと思います。

少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。

Apacheのバージョン情報に関するポイント

Apache(アパッチ)のバージョンには、安定版(Stable Release:主に不具合の修正とセキュリティアップデートが行われるバージョン)と開発版(Development Release:新機能が頻繁に追加されるバージョン)の2種類があります。

2024年9月現在、Apache安定版の最新バージョンは2.4.62あり、公式がセキュリティサポートをしているバージョンも2.4.62のみです。

Apacheのバージョンが2.4.61以下の場合には、緊急ないし重要レベルの脆弱性が存在する可能性があります。

Apache安定版のリリース日とサポート期限

当社の知る限り、Apacheの公式サイトには「最新のパッチバージョンのみがサポートされる」とは記載されていません。
しかしながら、Apacheは脆弱性や不具合があると新しいパッチバージョンを提供してくれますが、古いバージョンについて何らかのサポートをしたことはありません。

このことから、公式のサポート対象は事実上最新のパッチバージョンだけであると理解されています。

Apache安定版である2.4系の各バージョンについてのリリース日とサポート期限は次の通りです(数が多いので直近10バージョンだけを記載します)。

Apacheのバージョン リリース日 サポート期限
2.4.62 2024年7月17日 サポート中
2.4.61 2024年7月3日 2024年7月17日
2.4.60 2024年7月1日 2024年7月3日
2.4.59 2024年4月4日 2024年7月1日
2.4.58 2023年10月19日 2024年4月4日
2.4.57 2023年4月6日 2023年10月19日
2.4.56 2023年3月7日 2023年4月6日
2.4.55 2023年1月17日 2023年3月7日
2.4.54 2022年6月8日 2023年1月17日
2.4.53 2022年3月14日 2022年6月8日

※グレーのバージョンはセキュリティサポートが終了しています。

Apache安定版の脆弱性情報

Apache安定版に関する脆弱性情報で、当社が把握しているものは次の通りです。
※数が多いので、上記2.4.53以上で解消したものだけを記載します。
※深刻度が警告レベル(CVSS v3 6.9以下)以下は割愛させていただいております。

Apache2.4.61以下のバージョンには、少なくとも重要レベルの脆弱性がある可能性があります。

脆弱性情報 深刻度 影響を受けるバージョン

CVE-2024-40898
JVNDB-2024-005313

CVSS v3
7.5 (重要)
Apache 2.4.0から2.4.61

CVE-2024-38477
JVNDB-2024-006244

CVSS v3
7.5 (重要)
Apache 2.4.0から2.4.59

CVE-2024-38476
JVNDB-2024-006245

CVSS v3
9.8 (緊急)
Apache 2.4.0から2.4.59

CVE-2024-38475 Detail

CVSS v3
9.1 (緊急)
Apache 2.4.0から2.4.59

CVE-2024-38474
JVNDB-2024-006246

CVSS v3
9.8 (緊急)
Apache 2.4.0から2.4.59

CVE-2024-38472 Detail

CVSS v3
7.5 (重要)
Apache 2.4.0から2.4.59

CVE-2024-27316
JVNDB-2024-003313

CVSS v3
7.5 (重要)
Apache 2.4.17から2.4.58

CVE-2023-31122
JVNDB-2023-004360

CVSS v3
7.5 (重要)
Apache 2.4.57およびそれ以前

CVE-2023-43622
JVNDB-2023-004825

CVSS v3
7.5 (重要)
Apache 2.4.55から2.4.57

CVE-2023-25690
JVNDB-2023-001632

CVSS v3
9.8 (緊急)
Apache 2.4.0から2.4.55

CVE-2023-27522
JVNDB-2023-001631

CVSS v3
7.5 (重要)
Apache 2.4.30から2.4.55

CVE-2006-20001
JVNDB-2006-004077

CVSS v3
7.5 (重要)
Apache 2.4.54およびそれ以前

CVE-2022-36760
JVNDB-2022-002927

CVSS v3
9.0 (緊急)
Apache 2.4.54およびそれ以前

CVE-2022-30556
JVNDB-2022-002158

CVSS v3
7.5 (重要)
Apache 2.4.53およびそれ以前

CVE-2022-31813
JVNDB-2022-002157

CVSS v3
9.8 (緊急)
Apache 2.4.53およびそれ以前

CVE-2022-28615
JVNDB-2022-002155

CVSS v3
9.1 (緊急)
Apache 2.4.53およびそれ以前

CVE-2022-29404
JVNDB-2022-002154

CVSS v3
7.5 (重要)
Apache 2.4.53およびそれ以前

CVE-2022-30522
JVNDB-2022-002153

CVSS v3
7.5 (重要)
Apache 2.4.53

CVE-2022-26377
JVNDB-2022-002152

CVSS v3
7.5 (重要)
Apache 2.4.53およびそれ以前

CVE-2022-23943
JVNDB-2022-001481

CVSS v3
9.8 (緊急)
Apache 2.4.52およびそれ以前

CVE-2022-22721
JVNDB-2022-001480

CVSS v3
9.1 (緊急)
Apache 2.4.52およびそれ以前

CVE-2022-22720
JVNDB-2022-001479

CVSS v3
9.8 (緊急)
Apache 2.4.52およびそれ以前

CVE-2022-22719
JVNDB-2022-001478

CVSS v3
7.5 (重要)
Apache 2.4.52およびそれ以前

※脆弱性情報をご利用になる場合にはJVN、NVDないしCVEの詳細ページを必ずご確認ください。

Apacheのバージョンアップで想定されるトラブルと回避方法

Webサイトの安全性と高いパフォーマンスを維持するためには、Apacheのバージョンアップが必要となります。

しかしながら、Nginxのバージョンアップ作業を実施する場合、設定ファイルの変更やモジュールやプラグインとの依存関係を原因とするエラーの発生等、トラブルが発生する可能性があります。

これらのトラブルを回避するため、事前にディべロップ環境、ステージング環境での検証やバックアップが非常に重要です。

Apacheのバージョンアップを継続する体制について

Apacheは2019年まで世界ナンバー1シェアを誇るWebサーバーソフトウェアであり、現在のシェア2位のソフトウェアです。
そのため、大手企業であってもApacheを利用しているケースが多いのが現状です。

しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイトの数が増え、あるいはWebサイトの規模が大きくなるにつれて社内での対応が困難になることがあります。

Apacheのアップデートに関してお悩みがございましたら、こちらのお問い合わせよりお気軽にご相談ください。

当社に関して

taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。

※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。

この記事を書いた存在
ちほうタイガー

taneCREATIVEに所属する謎のトラ。