【2025年11月版】ApacheバージョンとOSによるバックポートについて

皆さんこんにちは。
taneCREATIVEの「ちほうタイガー」です。

本記事は、Apache HTTP Server（以下「Apache」とします）バージョンと、各種OSによるバックポート対応についてまとめたもので、2025年11月13日に執筆しています。

Apache（アパッチ）は、Apache Software Foundation （以下「ASF」とします）が開発やサポートを継続しているオープンスースのWebサーバーソフトウェアです。

当社の知る限り、Apacheの公式サイトには「最新のパッチバージョンのみがサポートされる」とは記載されていませんが、Apacheでは、脆弱性や不具合があっても、古いバージョンについてサポートされることはなく、新しいパッチバージョンが提供されています。通常のオープンソースソフトウェアでは、公式のサポート（新機能の追加、不具合の改修、セキュリティパッチの提供）は最新パッチバージョンのみを対象としており、Apacheでも同様の対応が行われていると考えられることから、公式のサポート対象は事実上最新のパッチバージョンだけであると理解しています。
※Apacheのバージョン情報とサポート期限(EOL)についてはこちらをご覧ください。

2025年11月13日現在、Apacheの最新バージョンは2.4.65であり、公式がセキュリティサポートをしているバージョンも2.4.65のみです。

もっとも、最新ではないApacheバージョンを使用していても、直ちに危険な状態になるとは限りません。OSによっては、古くなったApacheバージョンに対しても、緊急、重大な脆弱性に対してバックポートと呼ばれる方式で修正を適用するケースがあるためです。

そこで、この記事では、企業のWeb担当者の皆さまに向けて、各OSごとのバックポート対応方針とともにご紹介することで、できるだけ安心してApacheを使用していただけるようにしたいと思います。

少しでも皆様のお役に立てる記事にできればと思います。
どうぞよろしくお願い致します。

バックポートとは、本来は新しいソフトウェアのバージョンで修正された脆弱性やバグ修正の内容を、最新ではないバージョンのままのパッケージに後から移植（backport）して適用する手法を指します。

すなわち、OSによっては、新しいApacheバージョンで修正された脆弱性やバグ対応を独自パッチとして反映（バックポート対応）することで、古いApacheバージョンに対しても、一定のセキュリティレベルを事実上確保している場合があります。

ただし、このバックポート対応は、各OSベンダーが「危険」と判断した重要度の高い脆弱性（たとえば緊急や重要レベル）に限定して行われるのが一般的です。

また、どのApacheバージョンに、どの範囲まで適用するかはOSごとに方針が異なるため、EOL後のApacheバージョンに公式サポートと同等の脆弱性対策が継続されること意味しているわけではありません。

したがって、最新ではないApacheバージョンを使用している場合は、可能な限り公式にサポートされている最新バージョンへのアップデートを行うことが推奨されることに変わりはありませんが、バックポート対応がされていれば、重要度の高い脆弱性については修正が反映されているため、一定の安心感を持って運用できるとは言えるかと思います。

Amazon Linux 2023 におけるバックポート対象脆弱性の選定基準は、各セキュリティアドバイザリ（ALAS: Amazon Linux Advisory Security）に付与される深刻度（Severity）によって判断されており、その評価は主に CVSS（Common Vulnerability Scoring System）スコアを基準としています。

ただし、「CVSS 7.0以上を必ず対象とする」などの明確な数値基準やバージョン線引きは公表されていません。

また、Amazon Linux 2023のALASを読む限り、Apacheに関しては、「古いパッケージ番号を据え置きつつ修正内容のみを移植（バックポート）」するケースも稀に存在しますが、2.4.6x 以上へのアップグレード 形式（例：httpd-2.4.64-1.amzn2023）で修正されることが多く、バックポート対応は極めて限定的です。

このため、実運用上はCVSSスコアで「緊急（Critical）」または「重要（Important）」と評価された脆弱性がバックポート対応の対象になる可能性はあるものの、あまりあてにせず、実際に発行された ALAS（Amazon Linux Advisory Security）を都度確認する運用が推奨されます。

例えば、CVE-2025-23048はCVSS v3で9.1 (緊急)に分類される脆弱性であり、Apache2.4.35から2.4.63に影響しますが、ALASでは“Users are recommended to upgrade to version 2.4.64”と記載されており、実質的にはアップグレードを伴う対応が推奨されています。
Web担当者としては「バックポートがあるから安心」ではなく「アップデートして 2.4.64（または AL2023の修正版）に移行すべき」と判断する方が妥当であるということになるかと思います。

RHEL（Red Hat Enterprise Linux）9及びその互換ディストリビューション（AlmaLinux OS 9、Rocky Linux 9）では、基本的に、セキュリティ修正を上流の最新版へ更新するのではなく、既存パッケージへ修正を移植するバックポート方式を採用しています。

もっとも、Apacheに関しては、固定上流版にひたすら留まる方式ではなく、必要に応じてリベース（上流のより新しい2.4.xへ土台を更新）していきながら、変更内容は、それぞれRHSA（Red Hat Security Advisory）、ELSA（Enterprise Linux Security Advisory）、RLSA（Rocky Linux Security Advisory）でバックポートを運用していく形になっています。

バックポートの対象となる脆弱性は、Red Hat Security Impact Ratings に基づくCritical（緊急）およびImportant（重要）レベルの脆弱性が原則対象です。
Moderate（警告）レベル以下は状況に応じて判断され、Low（注意）レベルは通常対応されません。

2025年11月13日現在、RHEL 9では Apache 2.4.xに対して長期バックポート対応を継続中となります。
※RHEL 9 Full Life Application Streams Release Life Cycle参照
※ベースとなるバージョンは、RHEL 9.1〜9.4についてはApache 2.4.53、RHEL 9.5でApache 2.4.62にリベースされています。

なお、AlmaLinux OS 9 および Rocky Linux 9 も RHEL 9 と同じSRPMソースを使用しているため、バックポート方針と選定基準、対象バージョンは実質的に同一です。

RHEL（Red Hat Enterprise Linux）8及びその互換ディストリビューション（AlmaLinux OS 8、Rocky Linux 8）でも、基本的に、セキュリティ修正を上流の最新版へ更新するのではなく、既存パッケージへ修正を移植するバックポート方式を採用しています。

もっとも、RHEL 8においては、リベースは実施せず、Apache 2.4.37をベースとしながら、それぞれRHSA（Red Hat Security Advisory）、ELSA（Enterprise Linux Security Advisory）、RLSA（Rocky Linux Security Advisory）でバックポートを運用していく形になっています。

バックポートの対象となる脆弱性は、Red Hat Security Impact Ratings に基づくCritical（緊急）およびImportant（重要）レベルの脆弱性が原則対象です。
Moderate（警告）レベル以下は状況に応じて判断され、Low（注意）レベルは通常対応されません。

2025年11月13日現在、RHEL 8では Apache 2.4.xに対して長期バックポート対応を継続中となります。
※RHEL 8 Full Life Application Streams Release Life Cycle参照

Apacheの最新バージョンへのバージョンアップについては、Webアプリケーション側に不具合が発生する確率が高く、工数がかかることが予想されます。
この場合、不具合の原因を特定し、これを改修できる専門的な知識が必要です。

また、Web制作会社はいわゆるWebアプリケーション側（WebサイトやCMS等）を専門としていますので、Apacheを含めたミドルウェアについては対応されていない会社も多いと思います。