HTTP/2の複数のサービス拒否（DoS）の脆弱性が公開される（CVE-2019-9511、CVE-2019-9518）

HTTP/2のサードパーティの実装で、さまざまなサービス拒否の脆弱性が見つかりました。

背景

8月13日、Netflixの研究者は、GitHubでサードパーティによるHTTP/2プロトコル実装の8つの脆弱性の発見について詳述したアドバイザリを公開しました。この脆弱性は主にNetflixのエンジニアリングマネージャーであるJonathan Looneyによって発見されました。1つの脆弱性、CVE-2019-9518はGoogleのシニアソフトウェアエンジニアPiotr Sikoraによって発見されました。

出典：Cloudflare

分析

クライアント（「攻撃者」）は、特別に細工されたリクエストを脆弱なサーバーに送信することにより、これらのHTTP/2 の脆弱性を悪用できます。これらのリクエストはさまざまですが、脆弱なサーバーはリクエストを処理し、レスポンスを送信しようとします。ただし、悪意のあるクライアントはレスポンスを無視するため、リソースが過剰に消費され、サービス拒否（DoS）が発生します。

以下は、8つの脆弱性と、Netflixアドバイザリで付けられたニックネームです。

概念実証

ブログが公開された時点では、概念実証コードは公開されていませんでした。

ソリューション

脆弱性に直ちに対処するために、NetflixのアドバイザリはHTTP/2サポートを無効にすることを推奨していますが、これによりパフォーマンスが低下するか、実行不可能になる可能性があることに注意してください。ソフトウェアベンダーは、これらの脆弱性に対するパッチを公開しています。ソフトウェアベンダーは、これらの脆弱性に対するパッチを公開しています。ベンダーからの最初のレポートは次のとおりです。

これらのソフトウェアアプリケーションを使用しているお客様は、早急にパッチを適用したバージョンに更新する必要があります。

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点でこちらに表示されます。

詳細情報

• Netflixアドバイザリ(NFLX-2019-002)

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

Tenable.io60日間無料トライルを入手する。