JVNVU#97133859
Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性
Apache HTTP Web Server の実験的 (experimental) モジュール mod_http2
には、リクエストヘッダを適切に制限しないことに起因するサービス運用妨害 (DoS) の脆弱性が存在します。
- Apache HTTP web server 2.4.17 から 2.4.23 まで
Apache HTTP Web Server 2.4.17 では、実験的モジュールとして HTTP/2 プロトコル (RFC7540) を実装した mod_http2
が提供されています。このモジュールは、Apache Software Foundation が提供する配布物ではコンパイルされずに無効なままとされていますが、Apache HTTP Web Server を自社製品に取り込んで提供しているディストリビュータによっては、有効にしている可能性があります。mod_http2
を有効にするには、httpd の設定ファイル内の 'Protocols' 行に 'h2' や 'h2c' を追加する必要があります。
Apache HTTP Web Server 2.4.17 から 2.4.23 では、HTTP/2 プロトコルの処理において、リソース制限が適切に行われていません。
細工された HTTP/2 リクエストにより、サーバ上のメモリを消費させるサービス運用妨害 (DoS) 攻撃が行われる可能性があります。
細工された HTTP/2 リクエストを処理することで、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
パッチを適用する
Apache HTTP WebServer 2.4.23 に対してはパッチが提供される予定です。
Apache のソースコードリポジトリにおいては、リビジョン 1772576 (r1772576) で修正が行われています。
ワークアラウンドを実施する
一時的な回避策として次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- 設定ファイル内の 'Protocols' 行から 'h2' および 'h2c' を削除することで HTTP/2 を無効にする
アップデートする
本脆弱性に対応した Apache HTTP Web Server 2.4.25 がリリースされました。
開発者が提供する情報をもとに、最新版にアップデートしてください。
ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
---|---|---|---|
BizMobile株式会社 | 該当製品無し | 2017/01/20 | BizMobile株式会社 の告知ページ |
ジェイティ エンジニアリング株式会社 | 該当製品無し | 2016/12/08 | |
日本電気株式会社 | 該当製品あり | 2017/02/01 |
- 2016/12/08
- ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
- 2016/12/21
- 対策方法を更新しました
- 2017/01/20
- BizMobile株式会社のベンダステータスが更新されました
- 2017/02/01
- 日本電気株式会社のベンダステータスが更新されました