2019年8月1日付で『PHP』、8月20日付で『Apache HTTP Web Server 2.4 系』と『HTTP/2』に関する脆弱性情報が公開されています。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
冒頭に書きました通り、今日はWeb系の脆弱性情報をお伝えします。
PHP・Apache・HTTP/2の脆弱性について
8月1日と8月20日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。
<PHP にバッファオーバーフローの脆弱性>
PHP には、バッファオーバーフローの脆弱性があり、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性がある。
対象は、
・PHP 7.3.8 より前のバージョン
・PHP 7.2.21 より前のバージョン
・PHP 7.1.31 より前のバージョン
PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。
<Apache HTTP Web Server 2.4 に複数の脆弱性>
Apache HTTP Web Server 2.4 系に以下の脆弱性があり、情報改ざん、悪意のあるページへのリダイレクト、情報漏えい、サービス運用妨害(DoS)攻撃の影響を受ける可能性がある。
・mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性
・mod_rewrite に潜在的なオープンリダイレクトの脆弱性
・mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性
・mod_http2 にメモリ破壊の脆弱性
・mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性
・mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性
対象は、Apache HTTP Web Server 2.4.41 より前のバージョン
Apache Software Foundation提供の修正済みのバージョンへの更新で解決。
<HTTP/2 の実装に対するサービス運用妨害(DoS)攻撃>
HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害(DoS)状態に関する検討が行われている(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっている。
・Data Dribble
・Ping Flood
・Resource Loop
・Reset Flood
・Settings Flood
・0-Length Headers Leak
・Internal Data Buffering
・Empty Frame Flooding
各 HTTP/2 実装者が提供するアップデートの適用を実施。
これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。
