【2025年11月版】Apacheのバージョン情報、サポート期限と脆弱性情報

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

この記事は、Apache HTTP Server（以下「Apache」とします）のバージョン情報、サポート期限と脆弱性情報についてまとめたもので、2025年11月13日に改訂しています。

Apache（アパッチ）は、Apache Software Foundation （以下「ASF」とします）が開発やサポートを継続しているオープンスースのWebサーバーソフトウェアであり、W3Techs - World Wide Web Technology Surveysによれば、現時点で世界ナンバー2のシェアを有しています。

Webサーバーソフトウェアの分野では、2021年ごろにNginxがApacheを抜いてシェア1位となるまで、Apacheが長年1位を維持してきました。
現在でも25.3％のシェアを有するメジャーなWebサーバーソフトウェアです。

安全で円滑なWebサイトの運用のためには、WebサーバーソフトウェアであるApacheについても最新バージョンへのアップデートが欠かせません。
一方で、不用意なアップデートによってWebサイトが表示されないといった不具合が起こる可能性もあります。

この記事ではApacheのバージョン情報とサポート期限についてまとめた上で、Apacheの脆弱性についてもご紹介したいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

Apache（アパッチ）のバージョン体系には、かつて「安定版（Stable Release）」と「開発版（Development Release）」という区分がありました。

安定版は主に不具合修正やセキュリティアップデートを行う実運用向けのリリースで、マイナーバージョンが偶数（例：2.2、2.4）であり、開発版は新機能の試験実装を目的としたもので、マイナーバージョンが奇数（例：2.3）とされていました。

しかし現在の Apacheプロジェクトでは、正式リリースとして提供されるのは安定版のみです。
開発版（例：2.3系など）はテスト目的の内部ブランチとして存在しましたが、正式リリース（GA）は行われていません。

そのため、現在一般に使用されている Apache のバージョン（2.4系など）は、すべて安定版（Stable Release）に該当します。

2025年11月13日現在、Apache安定版の最新バージョンは2.4.65であり、公式がセキュリティサポートをしているバージョンも2.4.65のみです。

Apacheのバージョンが2.4.64以下の場合には、緊急ないし重要レベルの脆弱性が存在する可能性があります。

当社の知る限り、Apacheの公式サイトには「最新のパッチバージョンのみがサポートされる」とは記載されていません。
しかしながら、Apacheは脆弱性や不具合があると新しいパッチバージョンが提供されますが、古いバージョンについてサポートされたことはないことはリリースログやステータスで確認できます。

また、通常のオープンソースソフトウェアでは、公式のサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）は最新パッチバージョンのみを対象としており、Apacheでも同様の対応が行われていると考えられます。

このことから、公式のサポート対象は事実上最新のパッチバージョンだけであると理解しています。

なお、2.2系統、2.0系統、1.3系統については、セキュリティアップデートが提供されていない状態である（End of Life）であることが公式サイトに明記されています。

※バージョンのリンクから公式サイトの脆弱性情報ページに遷移できます。
※公式サイトの脆弱性情報ページでは、2.2系統の最終パッチバージョンは2.2.35が存在するかのように見えますが、「never」と記載されていること、ApacheのアーカイブディレクトリにもCHANGES_2.2.34までは存在しますが、2.2.35 相当のファイルやアナウンスは見当たらないことから、予定されてはいたが公開はされなかったものと考えております。

Apache安定版である2.4系の各バージョンについてのリリース日とサポート期限は次の通りです（数が多いので直近10バージョンだけを記載します）。

※上記の内容は、バージョン2.4.53までを掲載しています。
※バージョン2.4.64以下には既知の脆弱性が存在するため、グレーにしています。

Apache安定版に関する脆弱性情報で、当社が把握しているものは次の通りです。
※数が多いので、上記2.4.53以上で解消したものだけを記載します。

Apache2.4.64以下のバージョンには、既知の脆弱性がある可能性があります。

※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures（本記事では「CVE」とします）の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。
※深刻度の数値はJapan Vulnerability Notes（本記事では「JVN」とします）及び、JVNが評価を合わせている米国国立標準技術研究所（NIST）が運営する脆弱性データベースであるNational Vulnerability Database（以下「NVD」）に準拠しています。NVDでスコアリングされていない場合には、CISA-ADP（アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁がCVE脆弱性識別子の情報を強化するために提供している権限のあるデータ公開者）のスコアを記載してあります。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。

Webサイトの安全性と高いパフォーマンスを維持するためには、Apacheを常に最新バージョンにしておくことが推奨されます。

もっとも、最新ではないApacheバージョンを使用していても、直ちに危険な状態になるとは限りません。
OSによっては、古くなったApacheバージョンに対しても、緊急、重大な脆弱性に対してバックポートと呼ばれる方式で修正を適用するケースがあるためです。
このバックポートに関しては、下記コラムにてご確認ください。
※ApacheバージョンとOSによるバックポートについて

Apacheは2021年まで世界ナンバー1シェアを誇るWebサーバーソフトウェアであり、現在のシェア2位のソフトウェアです。
そのため、大手企業であってもApacheを利用しているケースが多いのが現状です。

しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイトの数が増え、あるいはWebサイトの規模が大きくなるにつれて社内での対応が困難になることがあります。