HTTP/2プロトコルの一部実装に脆弱性、DoS攻撃でシステム停止のリスク
マイナビニュース / 2024年4月8日 9時35分
CERT Coordination Center (CERT/CC, Carnegie Mellon University)は4月3日(米国時間)、「VU#421644 - HTTP/2 CONTINUATION frames can be utilized for DoS attacks」において、HTTP/2プロトコルのCONTINUATIONフレームに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、攻撃者によってサービス運用妨害(DoS: Denial of Service)攻撃を実行される危険性がある。
○HTTP/2プロトコルの脆弱性
HTTP/2プロトコルは従来のHTTP/1.1の問題点を克服するため、1つのコネクション上で複数のリクエストおよびレスポンスを可能にするストリームと呼ばれる多重化の仕組みが実装されている。各ストリームはそれぞれリクエストとレスポンスを処理することができる。
これらストリームはフレームと呼ばれる単位でデータをやりとりするが、フレームには0から9まで10種類のタイプが規定されており、今回脆弱性が存在すると指摘されたCONTINUATIONフレームは、この9番のフレームとなる。
CONTINUATIONフレームはヘッダー情報を送信するHEADERSフレーム、またはサーバプッシュストリームの予約に使用するPUSH_PROMISEフレームの1度に送信できなかったフレームを継続するために使用される。フレームには8bitのフラグが用意されており、このフラグのEND_HEADERSがセットされているか否かでフレームの終わりを識別する。
今回発見された脆弱性は、単一ストリーム内で送信できるCONTINUATIONフレーム数に上限を設けていない不具合とされる。このような実装のHTTP/2サーバに対し、攻撃者はEND_HEADERSをセットせずにCONTINUATIONフレームを繰り返し送信することでサーバリソースを無限に消費させることができる。その結果、サーバはメモリー不足に陥りシステムの停止に至る。
この脆弱性および同種の脆弱性は実装ごとに複数の脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に登録されている。それらの一覧は次のとおり。
CVE-2024-27983 - Node.js HTTP/2 サーバ
-
- 1
- 2
この記事に関連するニュース
-
Windowsで動く複数のプログラミング言語の脆弱性に注意喚起、JPCERT/CC
マイナビニュース / 2024年4月17日 8時9分
-
Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃
マイナビニュース / 2024年4月12日 7時43分
-
HTTP/2プロトコルの脆弱性を警告、Goなど複数製品に影響 - JPCERT/CC
マイナビニュース / 2024年4月11日 9時15分
-
OpenSSLにDoS攻撃につながる脆弱性、修正は次期リリースから
マイナビニュース / 2024年4月11日 7時42分
-
Apache HTTP Server 2.4.59リリース、複数の脆弱性に対処
マイナビニュース / 2024年4月9日 10時28分
ランキング
-
1ジョージア大使、松屋にポーランド風ハンバーグ登場で心配「国際情勢に影響しかねない熾烈な戦いになりそう」
iza(イザ!) / 2024年5月1日 13時55分
-
2「そっち使うの?!」「これは天才」 さびだらけの鉄くぎをぐつぐつ煮込むと……? DIYに役立つ“まさかの使い道”が200万再生
ねとらぼ / 2024年5月2日 12時15分
-
3Shokzが新イヤホン2機種チラ見せ、BT付きの水泳用と新色含むカジュアル機
マイナビニュース / 2024年5月3日 13時0分
-
4CAに「ちょっといい?」と娘を連れて行かれ…… フライト中の心温まるエピソードが700万表示の反響
ねとらぼ / 2024年5月3日 20時15分
-
5「すごい請求がきた」 → “想像を絶する額の架空請求”に「太陽系丸ごと買えそう」「桃鉄終盤」
ねとらぼ / 2024年5月3日 20時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください