Apache 脆弱性対策のお知らせ

APACHE

Apacheにて脆弱性が報告されました。
脆弱性情報と対応に関して下記の通り報告させて頂きます。

概要

Apache HTTP Web Serverの実験的(experimental)モジュールmod_http2には、リクエストヘッダを適切に制限しないことに起因するサービス運用妨害(DoS)の脆弱性が存在します。

影響を受けるシステム

  • Apache HTTP web server2.4.17から2.4.23まで

詳細情報

Apache HTTP Web Server2.4.17では、実験的モジュールとしてHTTP/2プロトコル(RFC7540)を実装したmod_http2が提供されています。このモジュールは、Apache Software Foundationが提供する配布物ではコンパイルされずに無効なままとされていますが、Apache HTTP Web Serverを自社製品に取り込んで提供しているディストリビュータによっては、有効にしている可能性があります。mod_http2を有効にするには、httpdの設定ファイル内の'Protocols'行に'h2'や'h2c'を追加する必要があります。

Apache HTTP Web Server2.4.17から2.4.23では、HTTP/2プロトコルの処理において、リソース制限が適切に行われていません。
細工されたHTTP/2リクエストにより、サーバ上のメモリを消費させるサービス運用妨害(DoS)攻撃が行われる可能性があります。

想定される影響

細工されたHTTP/2リクエストを処理することで、サービス運用妨害(DoS)攻撃を受ける可能性があります。

対策方法

  • パッチを適用する
    Apache HTTP WebServer2.4.23に対してはパッチが提供される予定です。
    Apacheのソースコードリポジトリにおいては、リビジョン1772576(r1772576)で修正が行われています。
  • ワークアラウンドを実施する
    一時的な回避策として次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
    設定ファイル内の'Protocols'行から'h2'および'h2c'を削除することでHTTP/2を無効にする

備考

最終更新日

2016.12.09

公開日

2016.12.09

お電話でのご相談・お問い合わせはこちら

お電話でのご相談・お問い合わせはこちら 03-6743-1100 価格や仕様、サービスの詳細などのお問合せから、クラウド導入についてのわからないことなどまで。

価格・仕様などサービス詳細のお問い合わせや、クラウド導入の分からないことなど、お気軽にご連絡ください。

フォームでのお問い合わせ(無料)