リモートホストにインストールされている Apache httpd のバージョンは、2.4.67 より前です。したがって、2.4.67 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - Apache HTTP 2.4.66 以前の各種モジュールにおける権限エスカレーションバグにより、ローカルの.htaccess作成者がhttpdユーザーの権限でファイルを読み取ることが可能になります。ユーザーには、この問題を修正したバージョン 2.4.67 へのアップグレードをお勧めします。(CVE-2026-24072)

  - HTTP/2プロトコルを用いたApache HTTP Serverにおける二重の無料およびRCE脆弱性の可能性。この問題はApache HTTP Server: 2.4.66に影響します。ユーザーには、この問題を修正したバージョンであるバージョン 2.4.67 へのアップグレードをお勧めします。(CVE-2026-23918)

  - Apache HTTP Serverのmod_mdにおける制限なくリソースの割り当てやスロットリングの脆弱性をOCSP応答データを通じて制御。この問題は Apache HTTP Server 2.4.30 ～ 2.4.66 に影響します。ユーザーには、この問題を修正したバージョンであるバージョン 2.4.67 へのアップグレードをお勧めします。(CVE-2026-29168)

  - Apache HTTP Server 2.4.66 以前mod_dav_lockのNULLポインタデリファレンスは、攻撃者が内部で使用しない悪意あるrequest.mod_dav_lockでサーバーをクラッシュさせる可能性があります。これはmod_davやmod_dav_fsが内部で使用していません。
    mod_dav_lockの唯一の既知のユースケースは、バージョン 1.2.0以前のApache Subversionからのmod_dav_svnでした。ユーザーはこの問題を解決するバージョン 2.4.66へのアップグレード、またはmod_dav_lockの削除を推奨します。
    (CVE-2026-29169)

  - Apache HTTP Server 2.4.66 におけるタイミング攻撃で、リモート攻撃者がダイジェスト認証を回避できるmod_auth_digest ユーザーには、この問題を修正したバージョン 2.4.67 へのアップグレードをお勧めします。(CVE-2026-33006)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Apache 2.4.x < 2.4.67 の複数の脆弱性

critical Nessus プラグイン ID 311940

バージョン 1.3