当サイトはアフィリエイト広告を利用しています。
Apache HTTP Server 2.4は現在も活発に開発が続けられており、メジャーバージョンとしてのEOL日は設定されていません。ただし、古いマイナーバージョンはセキュリティパッチが提供されないため、定期的な最新版へのアップデートが必要です。
サポート状況
| バージョン | ステータス | 備考 |
|---|---|---|
| Apache 2.4.67(最新) | サポート中 | セキュリティパッチ・バグ修正が継続提供 |
| Apache 2.4.66以前 | 非推奨 | 新しい脆弱性への修正パッチは最新版にのみ提供 |
| Apache 2.2 | EOL済み | 2017年7月11日にサポート終了 |
基本情報
- 最新バージョン: 2.4.67
- EOL日: 未定(2.4系は現在も活発に開発中)
- ライセンス: Apache License 2.0
- 旧バージョン: Apache 2.2は2017年7月11日にEOL済み
- 主な用途: WebサーバーとしてLinux(RHEL・Ubuntu・Rocky Linux等)上で広く利用
2.4.67の主な変更点
セキュリティ修正(10件)
- mod_proxy_ajp: 複数のバッファオーバーリード問題を修正
- mod_authn_socache: NULLポインタ参照を修正
- mod_auth_digest: タイミング攻撃脆弱性に対応
- mod_md: v2.6.10へ更新し、証明書更新プロセスを改善
古いバージョンを使い続けるリスク
1. セキュリティパッチが適用されない
Apache HTTP Serverのセキュリティパッチは最新のマイナーバージョンにのみ提供されます。2.4.64以前を使用している場合、2.4.65〜2.4.67で修正された脆弱性(HTTP/2 DoS、mod_ssl TLSアップグレード攻撃、mod_proxy_http2機能停止など)が未修正のまま残ります。
2. OSパッケージとの乖離
RHEL・Ubuntu・Rocky Linuxなどのディストリビューションが提供するApacheパッケージは、バックポートでセキュリティ修正が適用されています。ただし、ソースからビルドしている場合や古いOSを使用している場合は、手動でのバージョン管理が必要です。
3. Apache 2.2からの移行が未完了のケース
Apache 2.2は2017年にEOL済みです。現在も2.2を使用している場合、セキュリティリスクが極めて高い状態です。2.4への移行は設定ファイルの変更が必要ですが、主要な互換性ガイドが公式から提供されています。
最新バージョンへのアップグレード方法
パッケージマネージャーによるアップデート
RHEL / CentOS / Rocky Linux 系
sudo dnf update httpdUbuntu / Debian 系
sudo apt update && sudo apt upgrade apache2アップグレード前の確認事項
- 設定ファイルのバックアップ: /etc/httpd/conf/ または /etc/apache2/ 配下を事前にバックアップ
- モジュール互換性の確認: サードパーティモジュールが新バージョンに対応しているか確認
- 設定構文チェック:
apachectl configtestでアップグレード後の設定ファイルを検証
サーバー環境の見直しを検討する場合
Apacheのアップデートを機に、Webサーバーの運用環境全体を見直す企業も増えています。オンプレミスのサーバー管理からVPSへの移行は、ハードウェア保守コストの削減とセキュリティ管理の簡素化につながります。
広告
