- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。taneCREATIVEの「ちほうタイガー」です。
この記事は2024年9月13日に執筆しています。
今回はApache HTTP Server(以下「Apache」とします)のバージョン情報とサポート期限についてまとめてみたいと思います。
Apache(アパッチ)は、Apache Software Foundation (以下「ASF」とします)が開発やサポートを継続しているオープンソースのWebサーバーソフトウェアであり、W3Techs - World Wide Web Technology Surveysによれば、現時点で世界ナンバー2のシェアを有しています。
Webサーバーソフトウェアの分野では、2021年ごろにNginxがApacheを抜いてシェア1位となるまで、Apacheが長年1位を維持してきました。
現在でも29%のシェアを有するメジャーなWebサーバーソフトウェアです。
安全で円滑なWebサイトの運用のためには、WebサーバーソフトウェアであるApacheについても最新バージョンへのアップデートが欠かせません。
一方で、不用意なアップデートによってWebサイトが表示されないといった不具合が起こる可能性もあります。
この記事ではApacheのバージョン情報とサポート期限についてまとめた上で、Apacheの脆弱性についてもご紹介したいと思います。
少しでも皆様のお役に立てる記事にできればと思います。どうぞよろしくお願い致します。
Apache(アパッチ)のバージョンには、安定版(Stable Release:主に不具合の修正とセキュリティアップデートが行われるバージョン)と開発版(Development Release:新機能が頻繁に追加されるバージョン)の2種類があります。
2024年9月現在、Apache安定版の最新バージョンは2.4.62あり、公式がセキュリティサポートをしているバージョンも2.4.62のみです。
Apacheのバージョンが2.4.61以下の場合には、緊急ないし重要レベルの脆弱性が存在する可能性があります。
当社の知る限り、Apacheの公式サイトには「最新のパッチバージョンのみがサポートされる」とは記載されていません。
しかしながら、Apacheは脆弱性や不具合があると新しいパッチバージョンを提供してくれますが、古いバージョンについて何らかのサポートをしたことはありません。
このことから、公式のサポート対象は事実上最新のパッチバージョンだけであると理解されています。
Apache安定版である2.4系の各バージョンについてのリリース日とサポート期限は次の通りです(数が多いので直近10バージョンだけを記載します)。
Apacheのバージョン | リリース日 | サポート期限 |
2.4.62 | 2024年7月17日 | サポート中 |
2.4.61 | 2024年7月3日 | 2024年7月17日 |
2.4.60 | 2024年7月1日 | 2024年7月3日 |
2.4.59 | 2024年4月4日 | 2024年7月1日 |
2.4.58 | 2023年10月19日 | 2024年4月4日 |
2.4.57 | 2023年4月6日 | 2023年10月19日 |
2.4.56 | 2023年3月7日 | 2023年4月6日 |
2.4.55 | 2023年1月17日 | 2023年3月7日 |
2.4.54 | 2022年6月8日 | 2023年1月17日 |
2.4.53 | 2022年3月14日 | 2022年6月8日 |
※グレーのバージョンはセキュリティサポートが終了しています。
Apache安定版に関する脆弱性情報で、当社が把握しているものは次の通りです。
※数が多いので、上記2.4.53以上で解消したものだけを記載します。
※深刻度が警告レベル(CVSS v3 6.9以下)以下は割愛させていただいております。
Apache2.4.61以下のバージョンには、少なくとも重要レベルの脆弱性がある可能性があります。
脆弱性情報 | 深刻度 | 影響を受けるバージョン |
CVSS v3 7.5 (重要) |
Apache 2.4.0から2.4.61 | |
CVSS v3 7.5 (重要) |
Apache 2.4.0から2.4.59 | |
CVSS v3 9.8 (緊急) |
Apache 2.4.0から2.4.59 | |
CVSS v3 9.1 (緊急) |
Apache 2.4.0から2.4.59 | |
CVSS v3 9.8 (緊急) |
Apache 2.4.0から2.4.59 | |
CVSS v3 7.5 (重要) |
Apache 2.4.0から2.4.59 | |
CVSS v3 7.5 (重要) |
Apache 2.4.17から2.4.58 | |
CVSS v3 7.5 (重要) |
Apache 2.4.57およびそれ以前 | |
CVSS v3 7.5 (重要) |
Apache 2.4.55から2.4.57 | |
CVSS v3 9.8 (緊急) |
Apache 2.4.0から2.4.55 | |
CVSS v3 7.5 (重要) |
Apache 2.4.30から2.4.55 | |
CVSS v3 7.5 (重要) |
Apache 2.4.54およびそれ以前 | |
CVSS v3 9.0 (緊急) |
Apache 2.4.54およびそれ以前 | |
CVSS v3 7.5 (重要) |
Apache 2.4.53およびそれ以前 | |
CVSS v3 9.8 (緊急) |
Apache 2.4.53およびそれ以前 | |
CVSS v3 9.1 (緊急) |
Apache 2.4.53およびそれ以前 | |
CVSS v3 7.5 (重要) |
Apache 2.4.53およびそれ以前 | |
CVSS v3 7.5 (重要) |
Apache 2.4.53 | |
CVSS v3 7.5 (重要) |
Apache 2.4.53およびそれ以前 | |
CVSS v3 9.8 (緊急) |
Apache 2.4.52およびそれ以前 | |
CVSS v3 9.1 (緊急) |
Apache 2.4.52およびそれ以前 | |
CVSS v3 9.8 (緊急) |
Apache 2.4.52およびそれ以前 | |
CVSS v3 7.5 (重要) |
Apache 2.4.52およびそれ以前 |
※脆弱性情報をご利用になる場合にはJVN、NVDないしCVEの詳細ページを必ずご確認ください。
Webサイトの安全性と高いパフォーマンスを維持するためには、Apacheのバージョンアップが必要となります。
しかしながら、Nginxのバージョンアップ作業を実施する場合、設定ファイルの変更やモジュールやプラグインとの依存関係を原因とするエラーの発生等、トラブルが発生する可能性があります。
これらのトラブルを回避するため、事前にディべロップ環境、ステージング環境での検証やバックアップが非常に重要です。
Apacheは2019年まで世界ナンバー1シェアを誇るWebサーバーソフトウェアであり、現在のシェア2位のソフトウェアです。
そのため、大手企業であってもApacheを利用しているケースが多いのが現状です。
しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイトの数が増え、あるいはWebサイトの規模が大きくなるにつれて社内での対応が困難になることがあります。
Apacheのアップデートに関してお悩みがございましたら、こちらのお問い合わせよりお気軽にご相談ください。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを 構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
taneCREATIVEに所属する謎のトラ。