製品・ソフトウェアに関する情報
脆弱性検索
Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性
タイトル Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害 (DoS) の脆弱性
概要

Apache HTTP Web Server の実験的 (experimental) モジュール mod_http2 には、リクエストヘッダを適切に制限しないことに起因するサービス運用妨害 (DoS) の脆弱性が存在します。 Apache HTTP Web Server 2.4.17 では、実験的モジュールとして HTTP/2 プロトコル (RFC7540) を実装した mod_http2 が提供されています。このモジュールは、Apache Software Foundation が提供する配布物ではコンパイルされずに無効なままとされていますが、Apache HTTP Web Server を自社製品に取り込んで提供しているディストリビュータによっては、有効にしている可能性があります。mod_http2 を有効にするには、httpd の設定ファイル内の 'Protocols' 行に 'h2' や 'h2c' を追加する必要があります。 Apache HTTP Web Server 2.4.17 から 2.4.23 では、HTTP/2 プロトコルの処理において、リソース制限が適切に行われていません。 細工された HTTP/2 リクエストにより、サーバ上のメモリを消費させるサービス運用妨害 (DoS) 攻撃が行われる可能性があります。

想定される影響 細工された HTTP/2 リクエストを処理することで、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。
対策

[パッチを適用する] Apache HTTP WebServer 2.4.23 に対してはパッチが提供される予定です。 Apache のソースコードリポジトリにおいては、リビジョン 1772576 (r1772576) で修正が行われています。 リビジョン 1772576 (r1772576) http://svn.apache.org/viewvc/httpd/httpd/trunk/modules/http2/h2_stream.c?revision=1772576&view=markup [ワークアラウンドを実施する] 一時的な回避策として次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。   * 設定ファイル内の 'Protocols' 行から 'h2' および 'h2c' を削除することで HTTP/2 を無効にする [2016年12月21日 更新] [アップデートする] 本脆弱性に対応した Apache HTTP Web Server 2.4.25 がリリースされました。 開発者が提供する情報をもとに、最新版にアップデートしてください。
公表日 2016年12月4日0:00
登録日 2016年12月7日15:51
最終更新日 2017年2月20日17:39
CVSS3.0 : 重要
スコア 7.5
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
CVSS2.0 : 警告
スコア 5
ベクター AV:N/AC:L/Au:N/C:N/I:N/A:P
影響を受けるシステム
Apache Software Foundation
Apache HTTP Server 2.4.17 から 2.4.23 まで
日本電気
MailShooter 全バージョン
SimpWright V6
SimpWright V7
SpoolServerシリーズ ReportFiling Ver5.2 から 6.2
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2016年12月07日]
  掲載
[2016年12月27日]
  対策:内容を更新
[2017年02月20日]
  影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
  ベンダ情報:日本電気 (NV17-003) を追加
  ベンダ情報:日本電気 (NV17-004) を追加
  参考情報:JVN (JVNVU#99304449) を追加		 2018年2月17日10:37
NVD脆弱性情報
CVE-2016-8740
概要

The mod_http2 module in the Apache HTTP Server 2.4.17 through 2.4.23, when the Protocols configuration includes h2 or h2c, does not restrict request-header length, which allows remote attackers to cause a denial of service (memory consumption) via crafted CONTINUATION frames in an HTTP/2 request.

公表日 2016年12月6日4:59
登録日 2021年1月26日14:19
最終更新日 2024年11月21日11:59
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:http_server:2.4.20:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.23:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.18:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.22:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.19:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.17:*:*:*:*:*:*:*
cpe:2.3:a:apache:http_server:2.4.21:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧