Node.js による報告：

Node.jsは、他の多数のHTTP/2実装と同様に、サービス拒否攻撃に対して脆弱であることが判明しました。詳細については、https://github.com/Netflix/security-bulletins/blob/master/advisories/t hird-party/2019-002.mdを参照してください。

更新は、すべてのアクティブなNode.jsリリースラインで利用可能になりました（遅延していたNode.js 8.xのためのLinux ARMv6ビルドを含む）。

Node.jsの全ユーザーは、早急に以下のバージョンにアップグレードすることを推奨します。修正済みの脆弱性の影響: Node.js 8（LTS「Carbon」）、Node.js 10（LTS「Dubnium」）、Node.js 12（現行）のすべてのバージョンは、以下に対して脆弱です。

- CVE-2019-9511「Data Dribble」: 攻撃者が、複数のストリームにわたる指定されたリソースから大量のデータをリクエストします。彼らはウィンドウサイズとストリーム優先度を操作して、1バイトチャンクにデータをキューイングするようサーバーを強制します。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9512「Ping Flood」: 攻撃者はHTTP/2ピアに継続的にpingを送信し、ピアに応答の内部キューを作成させます。
このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9513「Resource Loop」: 攻撃者が複数のリクエストストリームを作成し、優先度ツリーが大幅に変更されるような方法でストリームの優先度を常に入れ替えます。これによりCPUが過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9514「Reset Flood」: 攻撃者は多数のストリームを開き、各ストリームで、ピアからRST_STREAMフレームのストリームを要求する無効なリクエストを送信します。ピアがRST_STREAMフレームをキューに入れる方法によって、メモリ、CPU、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9515「Settings Flood」: 攻撃者がSETTINGSフレームのストリームをピアに送信します。RFCではピアがSETTINGSフレームごとに1つの確認応答で返信することが要求されているため、空のSETTINGSフレームの動作はpingとほぼ同等です。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9516「0-Length Headers Leak」: 攻撃者が、長さゼロのヘッダー名と長さゼロのヘッダー値を持つヘッダーのストリームと、場合によっては1バイト以上のヘッダーにコード化されたHuffmanを送信します。実装によっては、メモリをこれらのヘッダーに割り当て、セッションが終了するまでその割り当てを維持します。これによりメモリが過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9517「Internal Data Buffering」: 攻撃者はHTTP/2ウィンドウを開き、ピアが制約なしで送信できるようにしますが、TCPウィンドウが閉じたままのため、ピアは実際に（多くの）バイトを送信することができません。その後、攻撃者は大きな応答オブジェクトに対するリクエストのストリームを送信します。サーバーが応答をキューする方法によって、メモリ、CPU、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9518「Empty Frames Flood」: 攻撃者が、空のペイロードを含み、end-of-streamフラグを含まないフレームのストリームを送信します。これらのフレームは、DATA、HEADERS、CONTINUATION、またはPUSH_PROMISEです。ピアは、帯域幅の攻撃のために各フレームの処理において不均衡な時間を費やします。これによりCPUが過剰に消費され、サービス拒否を引き起こす可能性があります。（GoogleのPiotr Sikora氏により発見されました）

検出

FreeBSD：Node.js -- 複数の脆弱性（c97a940b-c392-11e9-bb38-000d3ab229d6）（0-Length Headers Leak）（Data Dribble）（Empty Frames Flood）（Internal Data Buffering）（Ping Flood）（Reset Flood）（Resource Loop）（Settings Flood）

high Nessus プラグイン ID 128043

バージョン 1.6

バージョン 1.4

バージョン 1.6 May 2, 2024, 9:04 AM CVSSv2 score source (set to "CVE-2019-9518") Exploit attributes ("Exploit available" set to "False") Plugin Feed: 202405020904
バージョン 1.4 Dec 6, 2022, 1:01 AM Reference Plugin Feed: 202212060101