JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月9日、「JVNVU#99012560: 複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備」において、HTTP/2プロトコルを実装する複数の製品に脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、サービス運用妨害(DoS: Denial of Service)攻撃を実行される恐れがある。
-
JVNVU#99012560: 複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備
脆弱性に関する情報
脆弱性の詳細は「HTTP/2プロトコルの一部実装に脆弱性、DoS攻撃でシステム停止のリスク | TECH+(テックプラス)」にて報じている。脆弱性および同種の脆弱性は実装ごとに複数の脆弱性情報データベース(CVE: Common Vulnerabilities and Exposures)に登録されている。それらの一覧は次のとおり。
- CVE-2024-27983 - Node.js HTTP/2 サーバ
- CVE-2024-27919、CVE-2024-30255 - Envoy
- CVE-2024-2758 - Tempesta FW
- CVE-2024-2653 - amphp/http
- CVE-2023-45288 - Goのnet/httpおよびnet/http2パッケージ
- CVE-2024-28182 - nghttp2
- CVE-2024-27316 - Apache HTTP Server
- CVE-2024-31309 - Apache Traffic Server
脆弱性の影響を受ける製品
脆弱性の影響を受けるとされる製品とバージョンは次のとおり。
- amphp/http-client v4.0.0-rc10からv4.0.0までのバージョン
- amphp/http 1.7.2および、2.0.0から2.1.0までのバージョン
- Apache HTTP Server 2.4.58およびこれ以前のバージョン
- Arista Networksの複数の製品(参考:「Security Advisory 0094 - Arista」)
- Go(net/httpパッケージ) 1.21.9より前、または1.22.0-0から1.22.2より前のバージョン
- Go(golang.org/x/net/http2パッケージ) v0.23.0より前のバージョン
- Tempesta FW 0.7.1より前のバージョン
- Node.js Version 21.7.2より前のバージョン
- Node.js Version 20.12.1より前のバージョン
- Node.js Version 18.20.1より前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品とバージョンは次のとおり。
- amphp/http-client v4.1.0-rc1およびこれ以降のバージョン
- amphp/http 1.7.3、2.1.1およびこれ以降のバージョン
- Apache HTTP Server 2.4.59
- Go(net/httpパッケージ) 1.22.2
- Go(golang.org/x/net/http2パッケージ) v0.23.0
- Tempesta FW 0.7.1
- Node.js Version 21.7.2
- Node.js Version 20.12.1
- Node.js Version 18.20.1
上記の一覧は、HTTP/2プロトコルをサポートするその他の製品の安全を示すものではない。影響を受けないと公表している製品や調査中の製品も存在するため、管理している製品が影響を受けるか否かは開発者に問い合わせるか、または発表を確認する必要がある。JPCER/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。
