皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書きました通り、今日はWeb系の脆弱性情報をお伝えします。

PHP･Apache･HTTP/2の脆弱性について

8月1日と8月20日に、JPCERTコーディネーションセンターは以下の脆弱性を発表しています。

＜PHP にバッファオーバーフローの脆弱性＞

PHP には、バッファオーバーフローの脆弱性があり、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性がある。

対象は、

・PHP 7.3.8 より前のバージョン

・PHP 7.2.21 より前のバージョン

・PHP 7.1.31 より前のバージョン

PHP開発者や配布元提供の修正済みのバージョンへの更新で解決。

＜Apache HTTP Web Server 2.4 に複数の脆弱性＞

Apache HTTP Web Server 2.4 系に以下の脆弱性があり、情報改ざん、悪意のあるページへのリダイレクト、情報漏えい、サービス運用妨害（DoS）攻撃の影響を受ける可能性がある。

・mod_proxy のエラーページに限定的なクロスサイトスクリプティングの脆弱性

・mod_rewrite に潜在的なオープンリダイレクトの脆弱性

・mod_http2 に h2 コネクション切断時における解放済みメモリ読み込みの脆弱性

・mod_http2 にメモリ破壊の脆弱性

・mod_http2 に h2 worker 枯渇によるサービス運用妨害 (DoS) 攻撃の脆弱性

・mod_remoteip にスタックバッファオーバーフローおよび NULL ポインタ逆参照の脆弱性

対象は、Apache HTTP Web Server 2.4.41 より前のバージョン

Apache Software Foundation提供の修正済みのバージョンへの更新で解決。

＜HTTP/2 の実装に対するサービス運用妨害（DoS）攻撃＞

HTTP/2 通信の処理は、HTTP/1.1 通信の処理と比較して多くのリソースが必要であり、RFC7540 の Security Considerations セクションにおいても、サービス運用妨害（DoS）状態に関する検討が行われている(10.5. Denial-of-Service Considerations)。しかし、どのように対策すべきかは実装者にまかされており、これが以下の問題につながっている。

・Data Dribble

・Ping Flood

・Resource Loop

・Reset Flood

・Settings Flood

・0-Length Headers Leak

・Internal Data Buffering

・Empty Frame Flooding

各 HTTP/2 実装者が提供するアップデートの適用を実施。

これらのものに該当する場合、早めに修正済みバージョンへ更新されることをお勧めします。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

現在、Webアクセスのプロトコルは『HTTP/1.1』と通信効率を改善した『HTTP/2』が使われていますが、近い将来、『HTTP/3』が登場し、さらに効率化されたものとなりそうです。

HTTP/3の登場で効率化されるWEB

まず、現状使われている『HTTP/1.1』や『HTTP/2』は以下のように動作しています。

＜HTTP/1.1＞

・基本的には1回のリクエストで1回のレスポンスを返す

・主にTCPを使う

・リクエスト数などによってはレスポンスが重い

＜HTTP/2＞

・1回のTCPコネクションで複数のリクエストを通信し、並列処理を可能にしているためHTTP/1.1と比べWebサイトのパフォーマンスが向上する

・実質的にはHTTPS（SSL/TLS通信）であるため安全性も確保される

そして、新バージョンとなる『HTTP/3（HTTP over QUIC）』は以下のように改善されるようです。

＜HTTP/3（HTTP over QUIC）＞

・TCPではなくUDPを使うため効率的な通信が行える

・TLS1.2より効率の良いTLS1.3を使った暗号化となる

このように改善されます。

（詳細にはもっとあると思います。)

TCPではなくUDPを使うことに対してセキュリティ的に疑問視する方もおられるようですが、その部分は新たに採用される『TLS1.3』などにおいて安全性にも優れいていることがテストで証明されているようです。

安全性が保持され、さらにパフォーマンスが向上するのであれば非常にありがたい話しです。

今、モバイル通信が『5G』へと進化しようとしていることもあり、Webにおいても早い段階で『HTTP/3（HTTP over QUIC）』が導入されることに期待ができそうです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた『他にも影響を与えるケース』に関してですが、最近身近なところで確認された現象がありますのでご紹介します。

セキュリティソフトがブラウザに与えた影響

Aというウェブサイトを運営している企業が借りているサーバーはHTTP/2に対応しているサーバーでした。

（HTTP/2とは、従来のHTTP/1.1を効率よく高速化したものと考えてください。）

しかし、Google Chrome、Mozilla Firefox、どちらのブラウザにHTTP/2 indicatorを入れて確認してもHTTP/2が反応しませんでした。

ややこしいことに、Yahoo!やGoogleなどを確認するとHTTP/2のインジケーターが反応しています。

この段階において、『サーバーに何か不具合でもあるのでは？』と思ってもおかしくありません。

理由として、Yahoo!やGoogleなどにおいてはHTTP/2のインジケーターが反応していることからです。

しかしこれ、全くもってサーバーの問題ではなかったのです。

問題は、そのパソコンに導入されていたセキュリティソフトにあったのです。

昨今のセキュリティソフトには、ウェブのSSL通信やTLS通信をフィルタリングする機能が搭載されています。

セキュリティソフトによっては、それらに間違った影響を及ぼしてしまうケースもあります。

もちろん修正方法はありますが、それ以前に、何が原因で問題が起きているのかの答えにたどり着くまでのロスタイムの方が問題です。

もし同じような現象に遭遇した場合、一度セキュリティソフトを疑ってみると良いかもしれません。