B
今週中
NGINX、Apache、IIS、Envoy、Cloudflare Pingoraなどの主要なWebサーバーに影響を与える「HTTP/2 Bomb」と呼ばれるリ…
📌 一言でいうと
NGINX、Apache、IIS、Envoy、Cloudflare Pingoraなどの主要なWebサーバーに影響を与える「HTTP/2 Bomb」と呼ばれるリモートDoS脆弱性が発見されました。この攻撃は、HTTP/2のヘッダー圧縮方式であるHPACKの脆弱性と、フロー制御ウィンドウをゼロに設定してリソースを解放させない手法を組み合わせたものです。攻撃者が少量のデータでサーバー側に大量のメモリ割り当てを強制させることで、サービス停止に追い込むことが可能です。
🔍該当判定
- 自社で NGINX, Apache, Microsoft IIS のいずれかをWebサーバーとして運用している
- Webサーバーの設定で HTTP/2 通信を有効にしている
- Cloudflare の CDN やプロキシサービスを利用している
- Envoy プロキシをインフラの一部として利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
各Webサーバーベンダーから提供される最新のセキュリティパッチを適用し、HTTP/2の設定(特にヘッダーサイズ制限やタイムアウト設定)をレビューしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】主要WebサーバーにおけるHTTP/2 Bomb脆弱性への対応について
お疲れさまです。主要なWebサーバー製品に影響するDoS脆弱性に関する情報共有です。
■ 概要
HTTP/2のヘッダー圧縮(HPACK)を悪用し、少量のパケットでサーバー側に大量のメモリ割り当てを強制させる「HTTP/2 Bomb」と呼ばれる脆弱性が報告されました。フロー制御の仕組みを悪用してリソースを保持し続けることで、リモートからサービス停止(DoS)を引き起こすことが可能です。
■ 影響範囲
- NGINX
- Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
■ 対応手順
1. 利用しているWebサーバーのバージョンを確認し、ベンダーから提供される最新の修正パッチを適用してください。
2. HTTP/2のデフォルト設定を見直し、不当に大きなヘッダー割り当てを制限する設定を検討してください。
■ 参考情報
- 各ベンダーの公式セキュリティアドバイザリを確認してください。
対応優先度: 高
対応期限: 速やかに
お疲れさまです。主要なWebサーバー製品に影響するDoS脆弱性に関する情報共有です。
■ 概要
HTTP/2のヘッダー圧縮(HPACK)を悪用し、少量のパケットでサーバー側に大量のメモリ割り当てを強制させる「HTTP/2 Bomb」と呼ばれる脆弱性が報告されました。フロー制御の仕組みを悪用してリソースを保持し続けることで、リモートからサービス停止(DoS)を引き起こすことが可能です。
■ 影響範囲
- NGINX
- Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
■ 対応手順
1. 利用しているWebサーバーのバージョンを確認し、ベンダーから提供される最新の修正パッチを適用してください。
2. HTTP/2のデフォルト設定を見直し、不当に大きなヘッダー割り当てを制限する設定を検討してください。
■ 参考情報
- 各ベンダーの公式セキュリティアドバイザリを確認してください。
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Mitigation for HTTP/2 Bomb Vulnerability in Major Web Servers
Dear IT/Security Team,
We are sharing information regarding a remote Denial-of-Service (DoS) vulnerability codenamed 'HTTP/2 Bomb'.
■ Overview
This vulnerability targets the HPACK header compression scheme used in HTTP/2. By combining a compression bomb with a zero-byte flow-control window, an attacker can force the server to allocate significant memory without releasing it, leading to resource exhaustion and service unavailability.
■ Affected Products
- NGINX
- Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
■ Mitigation Steps
1. Identify the versions of web servers currently in use and apply the latest security patches provided by the vendors.
2. Review HTTP/2 configurations, specifically focusing on header size limits and timeout settings to mitigate resource exhaustion.
■ Reference
- Please refer to the official security advisories from the respective vendors.
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a remote Denial-of-Service (DoS) vulnerability codenamed 'HTTP/2 Bomb'.
■ Overview
This vulnerability targets the HPACK header compression scheme used in HTTP/2. By combining a compression bomb with a zero-byte flow-control window, an attacker can force the server to allocate significant memory without releasing it, leading to resource exhaustion and service unavailability.
■ Affected Products
- NGINX
- Apache HTTPD
- Microsoft IIS
- Envoy
- Cloudflare Pingora
■ Mitigation Steps
1. Identify the versions of web servers currently in use and apply the latest security patches provided by the vendors.
2. Review HTTP/2 configurations, specifically focusing on header size limits and timeout settings to mitigate resource exhaustion.
■ Reference
- Please refer to the official security advisories from the respective vendors.
Priority: High
Deadline: Immediate