インターネット技術タスクフォース (IETF) の http 等複数ベンダの製品には、リソースの枯渇に関する脆弱性が存在します。
Apache Software Foundation Apache Tomcat 8.5.0 から 8.5.93 Apache Tomcat 9.0.0 から 9.0.80 Apache Tomcat 10.1.0 から 10.1.13 Apache Tomcat 11.0.0 Eclipse Foundation Jetty 9.4.53 未満 Jetty 10.0.0 以上 10.0.17 未満 Jetty 11.0.0 以上 11.0.17 未満 Jetty 12.0.0 以上 12.0.2 未満 Envoy Proxy Envoy 1.24.10 Envoy 1.25.9 Envoy 1.26.4 Envoy 1.27.0 F5 Networks BIG-IP Access Policy Manager (APM) 13.1.0 から 13.1.5 BIG-IP Access Policy Manager (APM) 14.1.0 から 14.1.5 BIG-IP Access Policy Manager (APM) 15.1.0 から 15.1.10 BIG-IP Access Policy Manager (APM) 16.1.0 から 16.1.4 BIG-IP Access Policy Manager (APM) 17.1.0 BIG-IP Advanced Firewall Manager (AFM) 13.1.0 から 13.1.5 BIG-IP Advanced Firewall Manager (AFM) 14.1.0 から 14.1.5 BIG-IP Advanced Firewall Manager (AFM) 15.1.0 から 15.1.10 BIG-IP Advanced Firewall Manager (AFM) 16.1.0 から 16.1.4 BIG-IP Advanced Firewall Manager (AFM) 17.1.0 BIG-IP Advanced Web Application Firewall (WAF) 13.1.0 から 13.1.5 BIG-IP Advanced Web Application Firewall (WAF) 14.1.0 から 14.1.5 BIG-IP Advanced Web Application Firewall (WAF) 15.1.0 から 15.1.10 BIG-IP Advanced Web Application Firewall (WAF) 16.1.0 から 16.1.4 BIG-IP Advanced Web Application Firewall (WAF) 17.1.0 BIG-IP Analytics 13.1.0 から 13.1.5 BIG-IP Analytics 14.1.0 から 14.1.5 BIG-IP Analytics 15.1.0 から 15.1.10 BIG-IP Analytics 16.1.0 から 16.1.4 BIG-IP Analytics 17.1.0 BIG-IP Application Acceleration Manager (AAM) 13.1.0 から 13.1.5 BIG-IP Application Acceleration Manager (AAM) 14.1.0 から 14.1.5 BIG-IP Application Acceleration Manager (AAM) 15.1.0 から 15.1.10 BIG-IP Application Acceleration Manager (AAM) 16.1.0 から 16.1.4 BIG-IP Application Acceleration Manager (AAM) 17.1.0 BIG-IP Application Security Manager (ASM) 13.1.0 から 13.1.5 BIG-IP Application Security Manager (ASM) 14.1.0 から 14.1.5 BIG-IP Application Security Manager (ASM) 15.1.0 から 15.1.10 BIG-IP Application Security Manager (ASM) 16.1.0 から 16.1.4 BIG-IP Application Security Manager (ASM) 17.1.0 BIG-IP Application Visibility and Reporting BIG-IP Carrier-Grade Network Address Translation (CGNAT) BIG-IP DDoS Hybrid Defender BIG-IP Domain Name System (DNS) BIG-IP Fraud Protection Service (FPS) BIG-IP Global Traffic Manager (GTM) Light Code Labs Caddy 2.7.5 未満 nghttp2 project nghttp2 1.57.0 未満 The Go Project Go 1.20.10 未満 Go 1.21.0 以上 1.21.3 未満 http2 0.17.0 未満 networking 0.17.0 未満 The Netty project Netty 4.1.100 未満 アップル SwiftNIO HTTP/2 1.28.0 未満 インターネット技術タスクフォース (IETF) http 2.0 日立 Cosminexus Component Container Hitachi Infrastructure Analytics Advisor (海外販売のみ) Hitachi Ops Center Analyzer (海外販売のみ) Hitachi Ops Center Analyzer viewpoint (海外販売のみ) Hitachi Ops Center Viewpoint (国内販売のみ) uCosminexus Application Server uCosminexus Application Server-R uCosminexus Developer uCosminexus Primary Server Base uCosminexus Service Architect uCosminexus Service Platform
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。
サービス運用妨害 (DoS) 状態にされる可能性があります。
ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。
Apache Software Foundation GitHub : help request: What's the action for CVE-2023-44487 ? #10320 GitHub : Document non-impact of CVE-2023-44487 #10 GitHub : httpd/modules/http2/h2_mplx.c GitHub : tomcat/java/org/apache/coyote/http2/ GitHub : Add an HTTP/2 related rate limiting #10564 Pony Mail : ATS is vulnerable to a HTTP/2 and s3 auth plugin attacks Eclipse Foundation GitHub : Allow HTTP/2 rate control to mitigate HTTP/2 floods (CVE-2023-44487) #10679 Envoy Proxy GitHub : http: Fix CVE CVE-2023-44487 #30055 F5 Networks Security Advisory : K000137106 Light Code Labs GitHub : HTTP/2 Rapid Reset : CVE-2023-44487 #5877 GitHub : v2.7.5 nghttp2 project GitHub : Rework session management #1961 GitHub : nghttp2 v1.57.0 The Go Project GitHub : net/http, x/net/http2: rapid stream resets can cause excessive work (CVE-2023-39325) #63417 Google Groups : [security] Go 1.21.3 and Go 1.20.10 are released The Netty project GitHub : Merge pull request from GHSA-xpw8-rcwv-8f8p The Netty project : Netty 4.1.100.Final released アップル Swift : Swift-nio-http2 security update: CVE-2023-44487 HTTP/2 DOS インターネット技術タスクフォース (IETF) IETF : Top Page 日立 Hitachi Software Vulnerability Information : hitachi-sec-2024-116 Hitachi Software Vulnerability Information : hitachi-sec-2024-150 ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-116 ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-150
リソースの枯渇(CWE-400) [NVD評価]
CVE-2023-44487
JVN : JVNVU#93656033 JVN : JVNVU#93250330 JVN : JVNVU#99084687 JVN : JVNVU#96191615 National Vulnerability Database (NVD) : CVE-2023-44487 CISA Known Exploited Vulnerabilities Catalog : CVE-2023-44487 ICS-CERT ADVISORY : ICSA-24-074-05 ICS-CERT ADVISORY : ICSA-24-165-04 ICS-CERT ADVISORY : ICSA-24-228-06 ICS-CERT ADVISORY : ICSA-24-319-08 関連文書 : www.openwall.com (oss-security/2023/10/13/4) 関連文書 : www.openwall.com (oss-security/2023/10/13/9) 関連文書 : www.openwall.com (oss-security/2023/10/18/4) 関連文書 : www.openwall.com (oss-security/2023/10/18/8) 関連文書 : www.openwall.com (oss-security/2023/10/19/6) 関連文書 : www.openwall.com (oss-security/2023/10/20/8) 関連文書 : access.redhat.com (cve-2023-44487) 関連文書 : arstechnica.com (how-ddosers-used-the-http-2-protocol-to-deliver-attacks-of-unprecedented-size) 関連文書 : aws.amazon.com (AWS-2023-011) 関連文書 : blog.cloudflare.com (technical-breakdown-http2-rapid-reset-ddos-attack) 関連文書 : blog.cloudflare.com (zero-day-rapid-reset-http2-record-breaking-ddos-attack) 関連文書 : blog.litespeedtech.com (rapid-reset-http-2-vulnerablilty) 関連文書 : blog.qualys.com (cve-2023-44487-http-2-rapid-reset-attack) 関連文書 : blog.vespa.ai (cve-2023-44487) 関連文書 : bugzilla.proxmox.com (4988) 関連文書 : bugzilla.redhat.com (2242803) 関連文書 : bugzilla.suse.com (1216123) 関連文書 : cgit.freebsd.org (commit/c64c329c2c1752f46b73e3e6ce9f4329be6629f9) 関連文書 : cloud.google.com (google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps) 関連文書 : cloud.google.com (how-it-works-the-novel-http2-rapid-reset-ddos-attack) 関連文書 : community.traefik.io (is-traefik-vulnerable-to-cve-2023-44487/20125) 関連文書 : discuss.hashicorp.com (hcsec-2023-32-vault-consul-and-boundary-affected-by-http-2-rapid-reset-denial-of-service-vulnerability-cve-2023-44487/59715) 関連文書 : edg.io (resets-leaks-ddos-and-the-tale-of-a-hidden-cve) 関連文書 : gist.github.com (7c2bfb8e9cdbe4b35a5e131c66a0c088) 関連文書 : github.com (issues/3947) 関連文書 : github.com (discussions/11741) 関連文書 : github.com (GHSA-qppj-fm5r-hxr3) 関連文書 : github.com (GHSA-vx74-f528-fxqg) 関連文書 : github.com (GHSA-xpw8-rcwv-8f8p) 関連文書 : github.com (issues/4323) 関連文書 : github.com (issues/1872) 関連文書 : github.com (CVE-2023-44487) 関連文書 : github.com (CVE-2023-44487) 関連文書 : github.com (issues/277) 関連文書 : github.com (6.0.23.md?plain=1#L73) 関連文書 : github.com (issues/16740) 関連文書 : github.com (pull/466) 関連文書 : github.com (pull/6703) 関連文書 : github.com (pull/3291) 関連文書 : github.com (GHSA-2m7v-gc89-fjqf) 関連文書 : github.com (issues/2312) 関連文書 : github.com (README.md?plain=1#L239-L244) 関連文書 : github.com (issues/97) 関連文書 : github.com (f61d41a502bd0f60eb24e1ce14edc7b6df6722a1) 関連文書 : github.com (issues/93) 関連文書 : github.com (pull/121120) 関連文書 : github.com (pull/5232) 関連文書 : github.com (4b9c6836471bc8270ab48aae6fd2181bc73fd632) 関連文書 : github.com (http2-rst-stream) 関連文書 : github.com (pull/6381) 関連文書 : github.com (issues/1615) 関連文書 : github.com (pull/50121) 関連文書 : github.com (issues/930) 関連文書 : github.com (issues/3474) 関連文書 : github.com (discussions/3367) 関連文書 : github.com (pull/5826) 関連文書 : github.com (issues/1986) 関連文書 : github.com (issues/3996) 関連文書 : istio.io (istio-security-2023-004) 関連文書 : linkerd.io (linkerd-cve-2023-44487) 関連文書 : lists.debian.org (msg00020) 関連文書 : lists.debian.org (msg00023) 関連文書 : lists.debian.org (msg00024) 関連文書 : lists.debian.org (msg00045) 関連文書 : lists.debian.org (msg00047) 関連文書 : lists.debian.org (msg00001) 関連文書 : lists.debian.org (msg00012) 関連文書 : lists.fedoraproject.org (2MBEPPC36UBVOZZNAXFHKLFGSLCMN5LI) 関連文書 : lists.fedoraproject.org (3N4NJ7FR4X4FPZUGNTQAPSTVB2HB2Y4A) 関連文書 : lists.fedoraproject.org (BFQD3KUEMFBHPAPBGLWQC34L4OWL5HAZ) 関連文書 : lists.fedoraproject.org (CLB4TW7KALB3EEQWNWCN7OUIWWVWWCG2) 関連文書 : lists.fedoraproject.org (E72T67UPDRXHIDLO3OROR25YAMN4GGW5) 関連文書 : lists.fedoraproject.org (FNA62Q767CFAFHBCDKYNPBMZWB7TWYVU) 関連文書 : lists.fedoraproject.org (HT7T2R4MQKLIF4ODV4BDLPARWFPCJ5CZ) 関連文書 : lists.fedoraproject.org (JIZSEFC3YKCGABA2BZW6ZJRMDZJMB7PJ) 関連文書 : lists.fedoraproject.org (JMEXY22BFG5Q64HQCM5CK2Q7KDKVV4TY) 関連文書 : lists.fedoraproject.org (KSEGD2IWKNUO3DWY4KQGUQM5BISRWHQE) 関連文書 : lists.fedoraproject.org (LKYHSZQFDNR7RSA7LHVLLIAQMVYCUGBG) 関連文書 : lists.fedoraproject.org (LNMZJCDHGLJJLXO4OXWJMTVQRNWOC7UL) 関連文書 : lists.fedoraproject.org (VHUHTSXLXGXS7JYKBXTA3VINUPHTNGVU) 関連文書 : lists.fedoraproject.org (VSRDIV77HNKUSM7SJC5BKE5JSHLHU2NK) 関連文書 : lists.fedoraproject.org (WE2I52RHNNU42PX6NZ2RBUHSFFJ2LVZX) 関連文書 : lists.fedoraproject.org (WLPRQ5TWUQQXYWBJM7ECYDAIL2YVKIUH) 関連文書 : lists.fedoraproject.org (X6QXN4ORIVF6XBW4WWFE7VNPVC74S45Y) 関連文書 : lists.fedoraproject.org (XFOIBB4YFICHDM7IBOP7PWXW3FX4HLL2) 関連文書 : lists.fedoraproject.org (ZB43REMKRQR62NJEI7I5NQ4FSXNLBKRT) 関連文書 : lists.fedoraproject.org (ZKQSIKIAT5TJ3WSLU3RDBQ35YX4GY4V3) 関連文書 : lists.fedoraproject.org (ZLU6U2R2IC2K64NDPNMV55AUAO65MAF4) 関連文書 : lists.w3.org (0025) 関連文書 : mailman.nginx.org (S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK) 関連文書 : martinthomson.github.io (draft-thomson-httpbis-h2-stream-limits) 関連文書 : msrc.microsoft.com (microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2) 関連文書 : msrc.microsoft.com (CVE-2023-44487) 関連文書 : news.ycombinator.com (37830987) 関連文書 : news.ycombinator.com (37830998) 関連文書 : news.ycombinator.com (37831062) 関連文書 : news.ycombinator.com (37837043) 関連文書 : openssf.org (http-2-rapid-reset-vulnerability-highlights-need-for-rapid-response) 関連文書 : seanmonstar.com (hyper-http2-rapid-reset-unaffected) 関連文書 : security.gentoo.org (202311-09) 関連文書 : security.netapp.com (ntap-20231016-0001) 関連文書 : security.paloaltonetworks.com (CVE-2023-44487) 関連文書 : tomcat.apache.org (security-10.html#Fixed_in_Apache_Tomcat_10.1.14) 関連文書 : ubuntu.com (CVE-2023-44487) 関連文書 : www.bleepingcomputer.com (new-http-2-rapid-reset-zero-day-attack-breaks-ddos-records) 関連文書 : www.cisa.gov (http2-rapid-reset-vulnerability-cve-2023-44487) 関連文書 : www.darkreading.com (internet-wide-zero-day-bug-fuels-largest-ever-ddos-event) 関連文書 : www.debian.org (dsa-5521) 関連文書 : www.debian.org (dsa-5522) 関連文書 : www.debian.org (dsa-5540) 関連文書 : www.debian.org (dsa-5549) 関連文書 : www.debian.org (dsa-5558) 関連文書 : www.debian.org (dsa-5570) 関連文書 : www.haproxy.com (haproxy-is-not-affected-by-the-http-2-rapid-reset-attack-cve-2023-44487) 関連文書 : www.netlify.com (netlify-successfully-mitigates-cve-2023-44487) 関連文書 : www.nginx.com (http-2-rapid-reset-attack-impacting-f5-nginx-products) 関連文書 : www.openwall.com (oss-security/2023/10/10/6) 関連文書 : www.phoronix.com (HTTP2-Rapid-Reset-Attack) 関連文書 : www.theregister.com (http2_rapid_reset_zeroday)
[2023年12月27日] 掲載 [2024年03月13日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (hitachi-sec-2024-116) を追加 [2024年03月27日] 参考情報:JVN (JVNVU#93656033) を追加 参考情報:ICS-CERT ADVISORY (ICSA-24-074-05) を追加 [2024年06月17日] 参考情報:JVN (JVNVU#93250330) を追加 参考情報:ICS-CERT ADVISORY (ICSA-24-165-04) を追加 [2024年08月19日] 参考情報:JVN (JVNVU#99084687) を追加 参考情報:ICS-CERT ADVISORY (ICSA-24-228-06) を追加 [2024年11月19日] 参考情報:JVN (JVNVU#96191615) を追加 参考情報:ICS-CERT ADVISORY (ICSA-24-319-08) を追加 [2024年12月18日] 影響を受けるシステム:ベンダ情報の追加に伴い内容を更新 ベンダ情報:日立 (hitachi-sec-2024-150) を追加