B
今週中
HTTP/2のヘッダー圧縮スキーム(HPACK)を悪用した「HTTP/2 Bomb」と呼ばれる新しいDoS攻撃手法
📌 一言でいうと
HTTP/2のヘッダー圧縮スキーム(HPACK)を悪用した「HTTP/2 Bomb」と呼ばれる新しいDoS攻撃手法が報告されました。この攻撃は、少量のデータがサーバー側で膨大なメモリを消費させる圧縮爆弾と、接続を維持し続けるSlowloris形式の手法を組み合わせています。NGINX、Apache、IIS、Envoy、Cloudflare Pingoraなどのデフォルト設定を使用している約88万以上のウェブサイトに影響を与える可能性があります。
🔍該当判定
- 自社でWebサーバー(NGINX, Apache HTTPD, Microsoft IIS, Envoy)を運用している
- Webサーバーの設定で「HTTP/2」を有効にしている
- Cloudflare Pingora を利用してWebサイトを公開している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
HTTP/2のヘッダー圧縮設定(HPACK)およびリソース制限設定を見直し、デフォルト設定からセキュリティを強化した設定に変更することを推奨します。また、WAFやロードバランサーでのDoS対策を有効にしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】HTTP/2 Bomb (CVE-2016-6581等) によるDoS脆弱性への対応について
お疲れさまです。HTTP/2プロトコルを悪用したDoS攻撃「HTTP/2 Bomb」に関する情報共有です。
■ 概要
HTTP/2のヘッダー圧縮(HPACK)を利用した圧縮爆弾と、接続を維持させるSlowloris的な手法を組み合わせた攻撃です。少量のパケットでサーバーのメモリを枯渇させ、短時間でサービス停止に追い込むことが可能です。
■ 影響範囲
- HTTP/2を有効にし、デフォルト設定で動作している以下の製品:
- NGINX
- Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
■ 対応手順
1. HTTP/2のヘッダーサイズ制限および最大リクエストヘッダー数などの設定値を適切に制限する。
2. WAFやリバースプロキシにおいて、異常なHTTP/2トラフィックを検知・遮断する設定を適用する。
3. 各ベンダーから提供されている最新のセキュリティパッチを適用する。
■ 参考情報
- CVE-2016-6581 (HPACK Bomb)
対応優先度: 高
対応期限: 速やかに確認し、設定変更を検討してください。
お疲れさまです。HTTP/2プロトコルを悪用したDoS攻撃「HTTP/2 Bomb」に関する情報共有です。
■ 概要
HTTP/2のヘッダー圧縮(HPACK)を利用した圧縮爆弾と、接続を維持させるSlowloris的な手法を組み合わせた攻撃です。少量のパケットでサーバーのメモリを枯渇させ、短時間でサービス停止に追い込むことが可能です。
■ 影響範囲
- HTTP/2を有効にし、デフォルト設定で動作している以下の製品:
- NGINX
- Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
■ 対応手順
1. HTTP/2のヘッダーサイズ制限および最大リクエストヘッダー数などの設定値を適切に制限する。
2. WAFやリバースプロキシにおいて、異常なHTTP/2トラフィックを検知・遮断する設定を適用する。
3. 各ベンダーから提供されている最新のセキュリティパッチを適用する。
■ 参考情報
- CVE-2016-6581 (HPACK Bomb)
対応優先度: 高
対応期限: 速やかに確認し、設定変更を検討してください。
Subject: [Security Advisory] Mitigation for HTTP/2 Bomb DoS Vulnerability
Dear IT/Security Team,
We are sharing information regarding a new DoS exploit dubbed 'HTTP/2 Bomb'.
■ Overview
This exploit chains an HPACK compression bomb (CVE-2016-6581) with a Slowloris-style hold to exhaust server memory rapidly. It can render a web server unavailable within seconds, even from a low-bandwidth connection.
■ Affected Scope
Web servers supporting HTTP/2 with default configurations of:
- NGINX
- Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
■ Mitigation Steps
1. Review and harden HTTP/2 header compression settings and resource limits (e.g., max header size).
2. Implement DoS protection rules on WAFs or Load Balancers to detect and block anomalous HTTP/2 traffic.
3. Ensure all web server software is updated to the latest stable versions.
■ Reference
- CVE-2016-6581
Priority: High
Deadline: Immediate review and configuration audit recommended.
Dear IT/Security Team,
We are sharing information regarding a new DoS exploit dubbed 'HTTP/2 Bomb'.
■ Overview
This exploit chains an HPACK compression bomb (CVE-2016-6581) with a Slowloris-style hold to exhaust server memory rapidly. It can render a web server unavailable within seconds, even from a low-bandwidth connection.
■ Affected Scope
Web servers supporting HTTP/2 with default configurations of:
- NGINX
- Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
■ Mitigation Steps
1. Review and harden HTTP/2 header compression settings and resource limits (e.g., max header size).
2. Implement DoS protection rules on WAFs or Load Balancers to detect and block anomalous HTTP/2 traffic.
3. Ensure all web server software is updated to the latest stable versions.
■ Reference
- CVE-2016-6581
Priority: High
Deadline: Immediate review and configuration audit recommended.