HTTP/2 の実装に複数の問題

最終更新日: 2019/08/21

情報源

US-CERT Current Activity
Multiple HTTP/2 Implementation Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2019/08/14/multiple-http2-implementation-vulnerabilities

概要

HTTP/2 の実装には、複数の問題があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

この問題に対して、複数のベンダから情報が公開されています。使用している各ソフトウエアのベンダや配布元などの情報を確認し、対策の施されたバージョンが公開されている場合、適用することをおすすめします。詳細は、各ベンダなどが提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#98433488
HTTP/2 の実装に対するサービス運用妨害 (DoS) 攻撃手法

https://jvn.jp/vu/JVNVU98433488/

Apple

SwiftNIO HTTP/2 1.5.0 のセキュリティコンテンツについて

https://support.apple.com/ja-jp/HT210436

関連文書 (英語)

CERT/CC Vulnerability Note VU#605641
HTTP/2 implementations do not robustly handle abnormal traffic and resource exhaustion
https://www.kb.cert.org/vuls/id/605641/

Apache Software Foundation

HTTP/2 DoS issues announced today – Impact for Apache Tomcat
https://mail-archives.apache.org/mod_mbox/tomcat-announce/201908.mbox/%3C71e8f5f2-86ff-26b3-e792-73eeb8655acb%40apache.org%3E

h2o

HTTP/2 DoS attack vulnerabilities CVE-2019-9512 CVE-2019-9514 CVE-2019-9515 #2090
https://github.com/h2o/h2o/issues/2090

nginx

[nginx-announce] nginx security advisory (CVE-2019-9511, CVE-2019-9513, CVE-2019-9516)
https://mailman.nginx.org/pipermail/nginx-announce/2019/000249.html

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-08-21」
https://www.jpcert.or.jp/wr/2019/wr193201.html