【活用ガイド】

JVNDB-2023-015462

インターネット技術タスクフォース (IETF) の http 等複数ベンダの製品におけるリソースの枯渇に関する脆弱性

概要

インターネット技術タスクフォース (IETF) の http 等複数ベンダの製品には、リソースの枯渇に関する脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 高
影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 8.5.0 から 8.5.93
  • Apache Tomcat 9.0.0 から 9.0.80
  • Apache Tomcat 10.1.0 から 10.1.13
  • Apache Tomcat 11.0.0
Eclipse Foundation
  • Jetty 9.4.53 未満
  • Jetty 10.0.0 以上 10.0.17 未満
  • Jetty 11.0.0 以上 11.0.17 未満
  • Jetty 12.0.0 以上 12.0.2 未満
Envoy Proxy
  • Envoy 1.24.10
  • Envoy 1.25.9
  • Envoy 1.26.4
  • Envoy 1.27.0
F5 Networks
  • BIG-IP Access Policy Manager (APM) 13.1.0 から 13.1.5
  • BIG-IP Access Policy Manager (APM) 14.1.0 から 14.1.5
  • BIG-IP Access Policy Manager (APM) 15.1.0 から 15.1.10
  • BIG-IP Access Policy Manager (APM) 16.1.0 から 16.1.4
  • BIG-IP Access Policy Manager (APM) 17.1.0
  • BIG-IP Advanced Firewall Manager (AFM) 13.1.0 から 13.1.5
  • BIG-IP Advanced Firewall Manager (AFM) 14.1.0 から 14.1.5
  • BIG-IP Advanced Firewall Manager (AFM) 15.1.0 から 15.1.10
  • BIG-IP Advanced Firewall Manager (AFM) 16.1.0 から 16.1.4
  • BIG-IP Advanced Firewall Manager (AFM) 17.1.0
  • BIG-IP Advanced Web Application Firewall (WAF) 13.1.0 から 13.1.5
  • BIG-IP Advanced Web Application Firewall (WAF) 14.1.0 から 14.1.5
  • BIG-IP Advanced Web Application Firewall (WAF) 15.1.0 から 15.1.10
  • BIG-IP Advanced Web Application Firewall (WAF) 16.1.0 から 16.1.4
  • BIG-IP Advanced Web Application Firewall (WAF) 17.1.0
  • BIG-IP Analytics 13.1.0 から 13.1.5
  • BIG-IP Analytics 14.1.0 から 14.1.5
  • BIG-IP Analytics 15.1.0 から 15.1.10
  • BIG-IP Analytics 16.1.0 から 16.1.4
  • BIG-IP Analytics 17.1.0
  • BIG-IP Application Acceleration Manager (AAM) 13.1.0 から 13.1.5
  • BIG-IP Application Acceleration Manager (AAM) 14.1.0 から 14.1.5
  • BIG-IP Application Acceleration Manager (AAM) 15.1.0 から 15.1.10
  • BIG-IP Application Acceleration Manager (AAM) 16.1.0 から 16.1.4
  • BIG-IP Application Acceleration Manager (AAM) 17.1.0
  • BIG-IP Application Security Manager (ASM) 13.1.0 から 13.1.5
  • BIG-IP Application Security Manager (ASM) 14.1.0 から 14.1.5
  • BIG-IP Application Security Manager (ASM) 15.1.0 から 15.1.10
  • BIG-IP Application Security Manager (ASM) 16.1.0 から 16.1.4
  • BIG-IP Application Security Manager (ASM) 17.1.0
  • BIG-IP Application Visibility and Reporting
  • BIG-IP Carrier-Grade Network Address Translation (CGNAT)
  • BIG-IP DDoS Hybrid Defender
  • BIG-IP Domain Name System (DNS)
  • BIG-IP Fraud Protection Service (FPS)
  • BIG-IP Global Traffic Manager (GTM)
Light Code Labs
  • Caddy 2.7.5 未満
nghttp2 project
  • nghttp2 1.57.0 未満
The Go Project
  • Go 1.20.10 未満
  • Go 1.21.0 以上 1.21.3 未満
  • http2 0.17.0 未満
  • networking 0.17.0 未満
The Netty project
  • Netty 4.1.100 未満
アップル
  • SwiftNIO HTTP/2 1.28.0 未満
インターネット技術タスクフォース (IETF)
  • http 2.0
日立
  • Cosminexus Component Container
  • Hitachi Infrastructure Analytics Advisor (海外販売のみ)
  • Hitachi Ops Center Analyzer (海外販売のみ)
  • Hitachi Ops Center Analyzer viewpoint (海外販売のみ)
  • Hitachi Ops Center Viewpoint (国内販売のみ)
  • uCosminexus Application Server
  • uCosminexus Application Server-R
  • uCosminexus Developer
  • uCosminexus Primary Server Base
  • uCosminexus Service Architect
  • uCosminexus Service Platform

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
想定される影響

サービス運用妨害 (DoS) 状態にされる可能性があります。
対策

ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
ベンダ情報

Apache Software Foundation Eclipse Foundation Envoy Proxy F5 Networks Light Code Labs nghttp2 project The Go Project The Netty project アップル インターネット技術タスクフォース (IETF) 日立
CWEによる脆弱性タイプ一覧  CWEとは?

  1. リソースの枯渇(CWE-400) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-44487
参考情報

  1. JVN : JVNVU#93656033
  2. JVN : JVNVU#93250330
  3. JVN : JVNVU#99084687
  4. JVN : JVNVU#96191615
  5. National Vulnerability Database (NVD) : CVE-2023-44487
  6. CISA Known Exploited Vulnerabilities Catalog : CVE-2023-44487
  7. ICS-CERT ADVISORY : ICSA-24-074-05
  8. ICS-CERT ADVISORY : ICSA-24-165-04
  9. ICS-CERT ADVISORY : ICSA-24-228-06
  10. ICS-CERT ADVISORY : ICSA-24-319-08
  11. 関連文書 : www.openwall.com (oss-security/2023/10/13/4)
  12. 関連文書 : www.openwall.com (oss-security/2023/10/13/9)
  13. 関連文書 : www.openwall.com (oss-security/2023/10/18/4)
  14. 関連文書 : www.openwall.com (oss-security/2023/10/18/8)
  15. 関連文書 : www.openwall.com (oss-security/2023/10/19/6)
  16. 関連文書 : www.openwall.com (oss-security/2023/10/20/8)
  17. 関連文書 : access.redhat.com (cve-2023-44487)
  18. 関連文書 : arstechnica.com (how-ddosers-used-the-http-2-protocol-to-deliver-attacks-of-unprecedented-size)
  19. 関連文書 : aws.amazon.com (AWS-2023-011)
  20. 関連文書 : blog.cloudflare.com (technical-breakdown-http2-rapid-reset-ddos-attack)
  21. 関連文書 : blog.cloudflare.com (zero-day-rapid-reset-http2-record-breaking-ddos-attack)
  22. 関連文書 : blog.litespeedtech.com (rapid-reset-http-2-vulnerablilty)
  23. 関連文書 : blog.qualys.com (cve-2023-44487-http-2-rapid-reset-attack)
  24. 関連文書 : blog.vespa.ai (cve-2023-44487)
  25. 関連文書 : bugzilla.proxmox.com (4988)
  26. 関連文書 : bugzilla.redhat.com (2242803)
  27. 関連文書 : bugzilla.suse.com (1216123)
  28. 関連文書 : cgit.freebsd.org (commit/c64c329c2c1752f46b73e3e6ce9f4329be6629f9)
  29. 関連文書 : cloud.google.com (google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps)
  30. 関連文書 : cloud.google.com (how-it-works-the-novel-http2-rapid-reset-ddos-attack)
  31. 関連文書 : community.traefik.io (is-traefik-vulnerable-to-cve-2023-44487/20125)
  32. 関連文書 : discuss.hashicorp.com (hcsec-2023-32-vault-consul-and-boundary-affected-by-http-2-rapid-reset-denial-of-service-vulnerability-cve-2023-44487/59715)
  33. 関連文書 : edg.io (resets-leaks-ddos-and-the-tale-of-a-hidden-cve)
  34. 関連文書 : gist.github.com (7c2bfb8e9cdbe4b35a5e131c66a0c088)
  35. 関連文書 : github.com (issues/3947)
  36. 関連文書 : github.com (discussions/11741)
  37. 関連文書 : github.com (GHSA-qppj-fm5r-hxr3)
  38. 関連文書 : github.com (GHSA-vx74-f528-fxqg)
  39. 関連文書 : github.com (GHSA-xpw8-rcwv-8f8p)
  40. 関連文書 : github.com (issues/4323)
  41. 関連文書 : github.com (issues/1872)
  42. 関連文書 : github.com (CVE-2023-44487)
  43. 関連文書 : github.com (CVE-2023-44487)
  44. 関連文書 : github.com (issues/277)
  45. 関連文書 : github.com (6.0.23.md?plain=1#L73)
  46. 関連文書 : github.com (issues/16740)
  47. 関連文書 : github.com (pull/466)
  48. 関連文書 : github.com (pull/6703)
  49. 関連文書 : github.com (pull/3291)
  50. 関連文書 : github.com (GHSA-2m7v-gc89-fjqf)
  51. 関連文書 : github.com (issues/2312)
  52. 関連文書 : github.com (README.md?plain=1#L239-L244)
  53. 関連文書 : github.com (issues/97)
  54. 関連文書 : github.com (f61d41a502bd0f60eb24e1ce14edc7b6df6722a1)
  55. 関連文書 : github.com (issues/93)
  56. 関連文書 : github.com (pull/121120)
  57. 関連文書 : github.com (pull/5232)
  58. 関連文書 : github.com (4b9c6836471bc8270ab48aae6fd2181bc73fd632)
  59. 関連文書 : github.com (http2-rst-stream)
  60. 関連文書 : github.com (pull/6381)
  61. 関連文書 : github.com (issues/1615)
  62. 関連文書 : github.com (pull/50121)
  63. 関連文書 : github.com (issues/930)
  64. 関連文書 : github.com (issues/3474)
  65. 関連文書 : github.com (discussions/3367)
  66. 関連文書 : github.com (pull/5826)
  67. 関連文書 : github.com (issues/1986)
  68. 関連文書 : github.com (issues/3996)
  69. 関連文書 : istio.io (istio-security-2023-004)
  70. 関連文書 : linkerd.io (linkerd-cve-2023-44487)
  71. 関連文書 : lists.debian.org (msg00020)
  72. 関連文書 : lists.debian.org (msg00023)
  73. 関連文書 : lists.debian.org (msg00024)
  74. 関連文書 : lists.debian.org (msg00045)
  75. 関連文書 : lists.debian.org (msg00047)
  76. 関連文書 : lists.debian.org (msg00001)
  77. 関連文書 : lists.debian.org (msg00012)
  78. 関連文書 : lists.fedoraproject.org (2MBEPPC36UBVOZZNAXFHKLFGSLCMN5LI)
  79. 関連文書 : lists.fedoraproject.org (3N4NJ7FR4X4FPZUGNTQAPSTVB2HB2Y4A)
  80. 関連文書 : lists.fedoraproject.org (BFQD3KUEMFBHPAPBGLWQC34L4OWL5HAZ)
  81. 関連文書 : lists.fedoraproject.org (CLB4TW7KALB3EEQWNWCN7OUIWWVWWCG2)
  82. 関連文書 : lists.fedoraproject.org (E72T67UPDRXHIDLO3OROR25YAMN4GGW5)
  83. 関連文書 : lists.fedoraproject.org (FNA62Q767CFAFHBCDKYNPBMZWB7TWYVU)
  84. 関連文書 : lists.fedoraproject.org (HT7T2R4MQKLIF4ODV4BDLPARWFPCJ5CZ)
  85. 関連文書 : lists.fedoraproject.org (JIZSEFC3YKCGABA2BZW6ZJRMDZJMB7PJ)
  86. 関連文書 : lists.fedoraproject.org (JMEXY22BFG5Q64HQCM5CK2Q7KDKVV4TY)
  87. 関連文書 : lists.fedoraproject.org (KSEGD2IWKNUO3DWY4KQGUQM5BISRWHQE)
  88. 関連文書 : lists.fedoraproject.org (LKYHSZQFDNR7RSA7LHVLLIAQMVYCUGBG)
  89. 関連文書 : lists.fedoraproject.org (LNMZJCDHGLJJLXO4OXWJMTVQRNWOC7UL)
  90. 関連文書 : lists.fedoraproject.org (VHUHTSXLXGXS7JYKBXTA3VINUPHTNGVU)
  91. 関連文書 : lists.fedoraproject.org (VSRDIV77HNKUSM7SJC5BKE5JSHLHU2NK)
  92. 関連文書 : lists.fedoraproject.org (WE2I52RHNNU42PX6NZ2RBUHSFFJ2LVZX)
  93. 関連文書 : lists.fedoraproject.org (WLPRQ5TWUQQXYWBJM7ECYDAIL2YVKIUH)
  94. 関連文書 : lists.fedoraproject.org (X6QXN4ORIVF6XBW4WWFE7VNPVC74S45Y)
  95. 関連文書 : lists.fedoraproject.org (XFOIBB4YFICHDM7IBOP7PWXW3FX4HLL2)
  96. 関連文書 : lists.fedoraproject.org (ZB43REMKRQR62NJEI7I5NQ4FSXNLBKRT)
  97. 関連文書 : lists.fedoraproject.org (ZKQSIKIAT5TJ3WSLU3RDBQ35YX4GY4V3)
  98. 関連文書 : lists.fedoraproject.org (ZLU6U2R2IC2K64NDPNMV55AUAO65MAF4)
  99. 関連文書 : lists.w3.org (0025)
  100. 関連文書 : mailman.nginx.org (S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK)
  101. 関連文書 : martinthomson.github.io (draft-thomson-httpbis-h2-stream-limits)
  102. 関連文書 : msrc.microsoft.com (microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2)
  103. 関連文書 : msrc.microsoft.com (CVE-2023-44487)
  104. 関連文書 : news.ycombinator.com (37830987)
  105. 関連文書 : news.ycombinator.com (37830998)
  106. 関連文書 : news.ycombinator.com (37831062)
  107. 関連文書 : news.ycombinator.com (37837043)
  108. 関連文書 : openssf.org (http-2-rapid-reset-vulnerability-highlights-need-for-rapid-response)
  109. 関連文書 : seanmonstar.com (hyper-http2-rapid-reset-unaffected)
  110. 関連文書 : security.gentoo.org (202311-09)
  111. 関連文書 : security.netapp.com (ntap-20231016-0001)
  112. 関連文書 : security.paloaltonetworks.com (CVE-2023-44487)
  113. 関連文書 : tomcat.apache.org (security-10.html#Fixed_in_Apache_Tomcat_10.1.14)
  114. 関連文書 : ubuntu.com (CVE-2023-44487)
  115. 関連文書 : www.bleepingcomputer.com (new-http-2-rapid-reset-zero-day-attack-breaks-ddos-records)
  116. 関連文書 : www.cisa.gov (http2-rapid-reset-vulnerability-cve-2023-44487)
  117. 関連文書 : www.darkreading.com (internet-wide-zero-day-bug-fuels-largest-ever-ddos-event)
  118. 関連文書 : www.debian.org (dsa-5521)
  119. 関連文書 : www.debian.org (dsa-5522)
  120. 関連文書 : www.debian.org (dsa-5540)
  121. 関連文書 : www.debian.org (dsa-5549)
  122. 関連文書 : www.debian.org (dsa-5558)
  123. 関連文書 : www.debian.org (dsa-5570)
  124. 関連文書 : www.haproxy.com (haproxy-is-not-affected-by-the-http-2-rapid-reset-attack-cve-2023-44487)
  125. 関連文書 : www.netlify.com (netlify-successfully-mitigates-cve-2023-44487)
  126. 関連文書 : www.nginx.com (http-2-rapid-reset-attack-impacting-f5-nginx-products)
  127. 関連文書 : www.openwall.com (oss-security/2023/10/10/6)
  128. 関連文書 : www.phoronix.com (HTTP2-Rapid-Reset-Attack)
  129. 関連文書 : www.theregister.com (http2_rapid_reset_zeroday)
更新履歴

  • [2023年12月27日]
      掲載
  • [2024年03月13日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (hitachi-sec-2024-116) を追加
  • [2024年03月27日]
      参考情報:JVN (JVNVU#93656033) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-074-05) を追加
  • [2024年06月17日]
      参考情報:JVN (JVNVU#93250330) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-165-04) を追加
  • [2024年08月19日]
      参考情報:JVN (JVNVU#99084687) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-228-06) を追加
  • [2024年11月19日]
      参考情報:JVN (JVNVU#96191615) を追加
      参考情報:ICS-CERT ADVISORY (ICSA-24-319-08) を追加
  • [2024年12月18日]
      影響を受けるシステム:ベンダ情報の追加に伴い内容を更新
      ベンダ情報:日立 (hitachi-sec-2024-150) を追加