HTTP/2プロトコルの脆弱性を警告、Goなど複数製品に影響 - JPCERT/CC

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月9日、「JVNVU#99012560: 複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備」において、HTTP/2プロトコルを実装する複数の製品に脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)攻撃を実行される恐れがある。

○脆弱性に関する情報

脆弱性の詳細は「HTTP/2プロトコルの一部実装に脆弱性、DoS攻撃でシステム停止のリスク | TECH+（テックプラス）」にて報じている。脆弱性および同種の脆弱性は実装ごとに複数の脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に登録されている。それらの一覧は次のとおり。

CVE-2024-27983 - Node.js HTTP/2 サーバ

CVE-2024-27919、CVE-2024-30255 - Envoy

CVE-2024-2758 - Tempesta FW

CVE-2024-2653 - amphp/http

CVE-2023-45288 - Goのnet/httpおよびnet/http2パッケージ

CVE-2024-28182 - nghttp2

CVE-2024-27316 - Apache HTTP Server
CVE-2024-31309 - Apache Traffic Server

○脆弱性の影響を受ける製品

脆弱性の影響を受けるとされる製品とバージョンは次のとおり。

amphp/http-client v4.0.0-rc10からv4.0.0までのバージョン
amphp/http 1.7.2および、2.0.0から2.1.0までのバージョン
Apache HTTP Server 2.4.58およびこれ以前のバージョン
Arista Networksの複数の製品(参考：「Security Advisory 0094 - Arista」)
Go(net/httpパッケージ) 1.21.9より前、または1.22.0-0から1.22.2より前のバージョン
Go(golang.org/x/net/http2パッケージ) v0.23.0より前のバージョン
Tempesta FW 0.7.1より前のバージョン
Node.js Version 21.7.2より前のバージョン
Node.js Version 20.12.1より前のバージョン
Node.js Version 18.20.1より前のバージョン