公開日:2016/12/06 最終更新日:2017/02/01

JVNVU#97133859
Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性

概要

Apache HTTP Web Server の実験的 (experimental) モジュール mod_http2 には、リクエストヘッダを適切に制限しないことに起因するサービス運用妨害 (DoS) の脆弱性が存在します。

影響を受けるシステム

  • Apache HTTP web server 2.4.17 から 2.4.23 まで

詳細情報

Apache HTTP Web Server 2.4.17 では、実験的モジュールとして HTTP/2 プロトコル (RFC7540) を実装した mod_http2 が提供されています。このモジュールは、Apache Software Foundation が提供する配布物ではコンパイルされずに無効なままとされていますが、Apache HTTP Web Server を自社製品に取り込んで提供しているディストリビュータによっては、有効にしている可能性があります。mod_http2 を有効にするには、httpd の設定ファイル内の 'Protocols' 行に 'h2' や 'h2c' を追加する必要があります。

Apache HTTP Web Server 2.4.17 から 2.4.23 では、HTTP/2 プロトコルの処理において、リソース制限が適切に行われていません。
細工された HTTP/2 リクエストにより、サーバ上のメモリを消費させるサービス運用妨害 (DoS) 攻撃が行われる可能性があります。

想定される影響

細工された HTTP/2 リクエストを処理することで、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。

対策方法

パッチを適用する
Apache HTTP WebServer 2.4.23 に対してはパッチが提供される予定です。
Apache のソースコードリポジトリにおいては、リビジョン 1772576 (r1772576) で修正が行われています。

ワークアラウンドを実施する
一時的な回避策として次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

  • 設定ファイル内の 'Protocols' 行から 'h2' および 'h2c' を削除することで HTTP/2 を無効にする
[2016年12月21日 更新]
アップデートする
本脆弱性に対応した Apache HTTP Web Server 2.4.25 がリリースされました。
開発者が提供する情報をもとに、最新版にアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
BizMobile株式会社 該当製品無し 2017/01/20 BizMobile株式会社 の告知ページ
ジェイティ エンジニアリング株式会社 該当製品無し 2016/12/08
日本電気株式会社 該当製品あり 2017/02/01
ベンダ リンク
Apache Software Foundation CVE-2016-8740: Server memory can be exhausted and service denied when HTTP/2 is used
Fixed in Apache httpd 2.4.24-dev -- HTTP/2 CONTINUATION denial of service CVE-2016-8740

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
基本値: 7.5
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:N/AC:L/Au:N/C:N/I:N/A:C
基本値: 7.8
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2016-8740
JVN iPedia

更新履歴

2016/12/08
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2016/12/21
対策方法を更新しました
2017/01/20
BizMobile株式会社のベンダステータスが更新されました
2017/02/01
日本電気株式会社のベンダステータスが更新されました