概要
HTTP/2実装に対する、様々なサービス運用妨害(DoS)攻撃手法が報告されています。
-
Data Dribble - CVE-2019-9511
攻撃者は複数のストリームを通じて大きなサイズのデータをリクエストし、データが1バイト単位で処理されるように仕向けます。
-
Ping Flood - CVE-2019-9512
攻撃者はHTTP/2のpingフレームを連続的に送信します。
-
Resource Loop - CVE-2019-9513
攻撃者は複数のリクエストストリームを作成し、連続的にストリームの優先順位の変更を行います。
-
Reset Flood - CVE-2019-9514
攻撃者はいくつものストリームをオープンし、各ストリームに無効なリクエストを送信して、RST_STREAMフレームを返すように仕向けます。
-
Settings Flood - CVE-2019-9515
攻撃者は大量のSETTINGSフレームを送信します。
-
0-Length Headers Leak - CVE-2019-9516
攻撃者は長さ0のヘッダ名およびヘッダ値を含むHEADERSフレームを大量に送信します。
-
Internal Data Buffering - CVE-2019-9517
攻撃者はHTTP/2ストリームをオープンしてそのウインドウサイズを無制限に設定するとともに、TCPレベルではウインドウサイズを制限し、応答データを返せない状態にします。
-
Empty Frame Flooding - CVE-2019-9518
攻撃者は、中身が空でEND_STREAMフラグをつけていない状態のフレームを大量に送信します。
WebOTX AS V9.4以降のWebOTX Webサーバ 2.4.xでは、HTTP/2プロトコルをサポートしています。調査の結果、WebOTX Webサーバにおいても、上記脆弱性の影響を受けることが判明しています。
影響のある製品
WebOTX AS V9.4以降のWebOTX Webサーバ 2.4で、本脆弱性の影響を受ける可能性があります。
- WebOTX Application Server Express V9.4~V10.2 (※)
- WebOTX Application Server Standard V9.4~V10.2
- WebOTX Application Server Enterprise V9.4~V9.5
(※) WebOTX Enterprise Service Bus V10.1、および、WebOTX Portal V9.3~V10.1に同梱されているWebOTX Application Server Expressを使用している場合にも該当します。
詳細
WebOTX Webサーバのバージョン確認方法は、後述の「備考」をご覧ください。
● 脆弱性の影響
サービス運用妨害(DoS)攻撃を受ける可能性があります。
● 脆弱性に該当する条件
WebOTX Webサーバ 2.4.xで、HTTP/2プロトコルを有効にしている場合に、本脆弱性の影響を受ける可能性があります。
HTTP/2プロトコルは、WebOTX AS V9.4以降にバンドルするWebOTX Webサーバ 2.4でサポートしており、既定では無効となっています。有効かどうかは次のコマンドでご確認頂けます。
otxadmin> login --user admin --password **** --port (対象ドメインのポート番号)
otxadmin> get server.WebServer.http2-enabled
上記getコマンドの実行結果がtrueの場合は、HTTP/2プロトコルが有効になっています。
対処方法
パッチの公開時期は現在検討中です。急ぎでパッチが必要な場合はご連絡ください。
回避方法
HTTP/2プロトコルを無効にすることで、回避してください。
設定手順は次の通りです。
-
HTTP/2プロトコルを無効にします。
otxadmin> login --user admin --password **** --port (対象ドメインのポート番号)
otxadmin> set server.WebServer.http2-enabled=false
-
Webサーバを再起動します。
otxadmin> invoke server.WebServer.stop
otxadmin> invoke server.WebServer.start
関連情報
本脆弱性問題の詳細は、次のURLを参照してください。
備考
WebOTX Webサーバのバージョンの確認方法は、次の通りです。
<WebOTXインストールディレクトリ>/domains/<ドメイン名>/bin/apachectl version
更新履歴
本サイトについてのご注意
- 弊社製品に関する正確なセキュリティ情報をご提供するよう努力しておりますが、 それぞれの情報におきまして内容を予告なく変更することがありますので、 あらかじめご了承ください。
- 本サイトに掲載した製品には他社の製品も含まれており、 これらの製品の情報につきましては、他社から提供または公開された情報を基にしております。 最新の情報につきましては製品開発元の情報を参照してください。
- 本サイトは弊社製品のセキュリティ情報の提供を目的としております。掲載情報に従い対応を行った(あるいは行わなかった)結果につきまして、 弊社では責任を負いかねますのでご了承ください。
セキュリティ問題に関する情報は変化しておりますので、 お客様には常に最新の情報をご確認いただけますようお願い申し上げます。