本日、広く利用されているWebサーバーソフトウェアであるApache HTTP Serverのmod_httpモジュールにおいて、深刻なサービス拒否(DoS)の脆弱性「CVE-2026-49975」が公表されました。この脆弱性は、悪意のあるHTTPリクエストによってサーバーのリソースを枯渇させ、サービス停止に追い込む可能性があります。現在、バージョン2.4.17から2.4.67が影響を受け、開発者は速やかに対応することが求められます。
脆弱性の概要と影響範囲
CVE-2026-49975は、Apache HTTP Serverのmod_httpにおける「Memory Allocation with Excessive Size Value(過剰なサイズのメモリ割り当て)」の脆弱性です。攻撃者が巧妙に細工したHTTPリクエストを送信することで、サーバーが過剰なメモリを消費し、最終的に正常なリクエストを処理できなくなることでサービス拒否状態に陥ります。
この脆弱性は、Apache HTTP Server 2.4.17から2.4.67までのバージョンに影響を及ぼします。特に、インターネットに公開されているWebサーバーや、大量のアクセスを処理する環境では、重大な影響を受ける可能性があります。
具体的な影響・攻撃シナリオ
攻撃者は、特別に細工されたHTTPリクエストをターゲットのApache HTTP Serverに送信します。これにより、mod_httpモジュールが過大なメモリを割り当てようとし、サーバーのメモリリソースを枯渇させます。結果として、正当なユーザーからのアクセスがタイムアウトしたり、サーバーがクラッシュしたりするサービス拒否攻撃が成功する可能性があります。これは、Webサイトの可用性を直接的に損なう深刻な脅威です。
エンジニアが今すぐ取るべき対策
最も推奨される対策は、Apache HTTP Serverを最新の修正済みバージョンである2.4.68以降にアップグレードすることです。 アップデートが困難な場合、暫定的な緩和策として、リバースプロキシ(例:Nginx)でのリクエストボディサイズ制限や、Apache自体の設定でリクエストヘッダー/ボディの最大サイズを制限することが有効です。
client_max_body_size 10M;
client_header_buffer_size 1k;
large_client_header_buffers 4 8k;
# 例: 継続的なDoS攻撃に対するレートリミット(Nginxのhttpブロック内)
limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
server {
listen 80;
server_name your_domain.com;
location / {
limit_req zone=one burst=10 nodelay;
proxy_pass http://your_apache_backend;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}上記のNginx設定例では、`client_max_body_size`でクライアントからのリクエストボディの最大サイズを制限し、`limit_req_zone`と`limit_req`ディレクティブで特定のIPアドレスからのリクエストレートを制限することで、DoS攻撃のリスクを軽減します。Apacheの`LimitRequestBody`や`LimitRequestFields`などのディレクティブを適切に設定することも重要です。
📦