- SERVICE
Webサイト・CMSの保守管理・運用
- WORKS
- ABOUT US
- NEWS & COLUMN
- RECRUIT
皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。
この記事は、Apache HTTP Server(以下「Apache」とします)のバージョン情報とサポート期限についてまとめたもので、2025年2月4日に改訂しています。
Apache(アパッチ)は、Apache Software Foundation (以下「ASF」とします)が開発やサポートを継続しているオープンソースのWebサーバーソフトウェアであり、W3Techs - World Wide Web Technology Surveysによれば、現時点で世界ナンバー2のシェアを有しています。
Webサーバーソフトウェアの分野では、2021年ごろにNginxがApacheを抜いてシェア1位となるまで、Apacheが長年1位を維持してきました。
現在でも27%のシェアを有するメジャーなWebサーバーソフトウェアです。
安全で円滑なWebサイトの運用のためには、WebサーバーソフトウェアであるApacheについても最新バージョンへのアップデートが欠かせません。
一方で、不用意なアップデートによってWebサイトが表示されないといった不具合が起こる可能性もあります。
この記事ではApacheのバージョン情報とサポート期限についてまとめた上で、Apacheの脆弱性についてもご紹介したいと思います。
少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。
Apacheのバージョン情報に関するポイント
Apache(アパッチ)のバージョンには、安定版(Stable Release:主に不具合の修正とセキュリティアップデートが行われるバージョン)と開発版(Development Release:新機能が頻繁に追加されるバージョン)の2種類があります。
2025年2月現在、Apache安定版の最新バージョンは2.4.63であり、公式がセキュリティサポートをしているバージョンも2.4.63のみです。
Apacheのバージョンが2.4.61以下の場合には、緊急ないし重要レベルの脆弱性が存在する可能性があります。
Apache安定版のリリース日とサポート期限
当社の知る限り、Apacheの公式サイトには「最新のパッチバージョンのみがサポートされる」とは記載されていません。
しかしながら、Apacheは脆弱性や不具合があると新しいパッチバージョンを提供してくれますが、古いバージョンについて何らかのサポートをしたことはありません。
また、通常のオープンソースソフトウェアでは、公式のサポート(新機能の追加、不具合の改修、セキュリティパッチの提供)は最新パッチバージョンのみを対象としており、Apacheでも同様の対応が行われていると考えられます。
このことから、公式のサポート対象は事実上最新のパッチバージョンだけであると理解しています。
なお、2.2系統、2.0系統、1.3系統については、セキュリティアップデートが提供されていないことが公式サイトに明記されています。
Apache安定版である2.4系の各バージョンについてのリリース日とサポート期限は次の通りです(数が多いので直近10バージョンだけを記載します)。
| Apacheのバージョン | リリース日 | サポート期限 |
| 2.4.63 | 2025年1月23日 | サポート中 |
| 2.4.62 | 2024年7月17日 | 2025年1月23日 |
| 2.4.61 | 2024年7月3日 | 2024年7月17日 |
| 2.4.60 | 2024年7月1日 | 2024年7月3日 |
| 2.4.59 | 2024年4月4日 | 2024年7月1日 |
| 2.4.58 | 2023年10月19日 | 2024年4月4日 |
| 2.4.57 | 2023年4月6日 | 2023年10月19日 |
| 2.4.56 | 2023年3月7日 | 2023年4月6日 |
| 2.4.55 | 2023年1月17日 | 2023年3月7日 |
| 2.4.54 | 2022年6月8日 | 2023年1月17日 |
| 2.4.53 | 2022年3月14日 | 2022年6月8日 |
※上記の内容は、バージョン2.4.53までを掲載しています。
※バージョン2.4.61以下には既知の脆弱性が存在するため、グレーにしています。
Apache安定版の脆弱性情報
Apache安定版に関する脆弱性情報で、当社が把握しているものは次の通りです。
※数が多いので、上記2.4.53以上で解消したものだけを記載します。
Apache2.4.61以下のバージョンには、重要レベルの脆弱性がある可能性があります。
| 脆弱性情報 | 深刻度 | 影響を受けるバージョン | 修正されたバージョン |
| CVSS v3 7.5 (重要) |
Apache 2.4.0から2.4.61 | Apache 2.4.62 | |
| CVSS v3 5.3 (警告) |
Apache 2.4.60から2.4.61 | Apache 2.4.62 | |
| CVSS v3 6.2 (警告) |
Apache 2.4.60 | Apache 2.4.61 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.0から2.4.59 | Apache 2.4.60 | |
| CVSS v3 7.3 (重要) |
Apache 2.4.58までのバージョン | Apache 2.4.59 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.0から2.4.59 | Apache 2.4.60 | |
| CVSS v3 9.8 (緊急) |
Apache 2.4.0から2.4.59 | Apache 2.4.60 | |
| CVSS v3 9.1 (緊急) |
Apache 2.4.0から2.4.59 | Apache 2.4.60 | |
| CVSS v3 9.8 (緊急) |
Apache 2.4.0から2.4.59 | Apache 2.4.60 | |
| CVSS v3 8.1 (重要) |
Apache 2.4.0から2.4.59 | Apache 2.4.60 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.0から2.4.59 | Apache 2.4.60 | |
| CVSS v3 5.4 (警告) |
Apache 2.4.55から2.4.59 | Apache 2.4.60 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.17から2.4.58 | Apache 2.4.59 | |
| CVSS v3 6.3 (警告) |
Apache 2.4.0から2.4.58 | Apache 2.4.59 | |
| CVSS v3 5.9 (警告) |
Apache 2.4.17から2.4.57 | Apache 2.4.58 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.55から2.4.57 | Apache 2.4.58 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.57までのバージョン | Apache 2.4.58 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.30から2.4.55 | Apache 2.4.56 | |
| CVSS v3 9.8 (緊急) |
Apache 2.4.0から2.4.55 | Apache 2.4.56 | |
| CVSS v3 5.3 (警告) |
Apache 2.4.54までのバージョン | Apache 2.4.55 | |
| CVSS v3 9.0 (緊急) |
Apache 2.4.0から2.4.54 | Apache 2.4.55 | |
| CVSS v3 9.8 (緊急) |
Apache 2.4.53までのバージョン | Apache 2.4.54 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.53までのバージョン | Apache 2.4.54 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.53 | Apache 2.4.54 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.53までのバージョン | Apache 2.4.54 | |
| CVSS v3 9.1 (緊急) |
Apache 2.4.53までのバージョン | Apache 2.4.54 | |
| CVSS v3 5.3 (警告) |
Apache 2.4.53までのバージョン | Apache 2.4.54 | |
| CVSS v3 5.3 (警告) |
Apache 2.4.53までのバージョン | Apache 2.4.54 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.53までのバージョン | Apache 2.4.54 | |
| CVSS v3 9.8 (緊急) |
Apache 2.4.52までのバージョン | Apache 2.4.53 | |
| CVSS v3 9.1 (緊急) |
Apache 2.4.52までのバージョン | Apache 2.4.53 | |
| CVSS v3 9.8 (緊急) |
Apache 2.4.52までのバージョン | Apache 2.4.53 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.52までのバージョン | Apache 2.4.53 | |
| CVSS v3 7.5 (重要) |
Apache 2.4.0から2.4.54 | Apache 2.4.55 |
※脆弱性情報については、情報セキュリティにおける脆弱性情報に付けられている番号であるCommon Vulnerabilities and Exposures(本記事では「CVE」とします)の順序に従って掲載しています。
※深刻度については、共通脆弱性評価システムCVSS v3に基づいています。
※深刻度の数値はJapan Vulnerability Notes(本記事では「JVN」とします)及び、JVNが評価を合わせている米国国立標準技術研究所(NIST)が運営する脆弱性データベースであるNational Vulnerability Database(以下「NVD」)に準拠しています。NVDでスコアリングされていない場合には、CISA-ADP(アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁がCVE脆弱性識別子の情報を強化するために提供している権限のあるデータ公開者)のスコアを記載してあります。
※原則としてJVNのページを正としていますが、JVNに掲載されていない情報などについてはNVDのサイトを参照しています。
※本記事における脆弱性情報は、当社が把握しているものだけであり、全ての脆弱性情報を網羅できているわけではありません。
※本記事における脆弱性情報をご利用になる場合には、必ずCVE、JVN、NVDなどの情報を確認されたうえで、自己責任でご利用ください。
Apacheのバージョンアップで想定されるトラブルと回避方法
Webサイトの安全性と高いパフォーマンスを維持するためには、Apacheのバージョンアップが必要となります。
しかしながら、Apacheのバージョンアップ作業を実施する場合、設定ファイルの変更やモジュールやプラグインとの依存関係を原因とするエラーの発生等、トラブルが発生する可能性があります。
これらのトラブルを回避するため、事前にディベロップ環境、ステージング環境での検証やバックアップが非常に重要です。
Apacheのバージョンアップを継続する体制について
Apacheは2021年まで世界ナンバー1シェアを誇るWebサーバーソフトウェアであり、現在のシェア2位のソフトウェアです。
そのため、大手企業であってもApacheを利用しているケースが多いのが現状です。
しかしながら、自社内でバージョンアップを行うにも属人化が発生してリソースが足りなくなったり、管理するWebサイトの数が増え、あるいはWebサイトの規模が大きくなるにつれて社内での対応が困難になることがあります。
taneCREATIVE社は、「リモートによるWebアプリケーションのセキュリティ対策をパッケージ化、首都圏大手企業に提供」している点が評価され、2021年にJ-Startup NIIGATAに選定されているWeb制作会社であり、Apacheはもちろんのこと、各種ミドルウェア、フレームワーク、ライブラリ、CMSに関する知見を有しています。
※「J-Startup NIIGATA」とは、経済産業省が2018年に開始したJ-Startupプログラムの地域版として、新潟発のロールモデルとなるスタートアップ企業群を明らかにし、官民連携により集中的に支援する仕組みを構築することで、新潟県におけるスタートアップ・エコシステムを強化する取組です。
Apacheのアップデートに関してお悩みがございましたら、こちらのお問合せよりお気軽にご相談ください。
- この記事を書いた存在
- ちほうタイガー
taneCREATIVEに所属する謎のトラ。
- 本業はWebコンサルタントという名の何でも屋。
ようやくWebサーバーソフトウェアシリーズのApacheを書き上げた。
え…LiteSpeedとIISもですか…そうですか…
2025年2月4日改訂
2024年9月11日執筆
