JVNDB-2023-015462

インターネット技術タスクフォース (IETF) の http 等複数ベンダの製品におけるリソースの枯渇に関する脆弱性

インターネット技術タスクフォース (IETF) の http 等複数ベンダの製品には、リソースの枯渇に関する脆弱性が存在します。

Apache Software Foundation

• Apache Tomcat 8.5.0 から 8.5.93
• Apache Tomcat 9.0.0 から 9.0.80
• Apache Tomcat 10.1.0 から 10.1.13
• Apache Tomcat 11.0.0

Eclipse Foundation

• Jetty 9.4.53 未満
• Jetty 10.0.0 以上 10.0.17 未満
• Jetty 11.0.0 以上 11.0.17 未満
• Jetty 12.0.0 以上 12.0.2 未満

Envoy Proxy

• Envoy 1.24.10
• Envoy 1.25.9
• Envoy 1.26.4
• Envoy 1.27.0

F5 Networks

• BIG-IP Access Policy Manager (APM) 13.1.0 から 13.1.5
• BIG-IP Access Policy Manager (APM) 14.1.0 から 14.1.5
• BIG-IP Access Policy Manager (APM) 15.1.0 から 15.1.10
• BIG-IP Access Policy Manager (APM) 16.1.0 から 16.1.4
• BIG-IP Access Policy Manager (APM) 17.1.0
• BIG-IP Advanced Firewall Manager (AFM) 13.1.0 から 13.1.5
• BIG-IP Advanced Firewall Manager (AFM) 14.1.0 から 14.1.5
• BIG-IP Advanced Firewall Manager (AFM) 15.1.0 から 15.1.10
• BIG-IP Advanced Firewall Manager (AFM) 16.1.0 から 16.1.4
• BIG-IP Advanced Firewall Manager (AFM) 17.1.0
• BIG-IP Advanced Web Application Firewall (WAF) 13.1.0 から 13.1.5
• BIG-IP Advanced Web Application Firewall (WAF) 14.1.0 から 14.1.5
• BIG-IP Advanced Web Application Firewall (WAF) 15.1.0 から 15.1.10
• BIG-IP Advanced Web Application Firewall (WAF) 16.1.0 から 16.1.4
• BIG-IP Advanced Web Application Firewall (WAF) 17.1.0
• BIG-IP Analytics 13.1.0 から 13.1.5
• BIG-IP Analytics 14.1.0 から 14.1.5
• BIG-IP Analytics 15.1.0 から 15.1.10
• BIG-IP Analytics 16.1.0 から 16.1.4
• BIG-IP Analytics 17.1.0
• BIG-IP Application Acceleration Manager (AAM) 13.1.0 から 13.1.5
• BIG-IP Application Acceleration Manager (AAM) 14.1.0 から 14.1.5
• BIG-IP Application Acceleration Manager (AAM) 15.1.0 から 15.1.10
• BIG-IP Application Acceleration Manager (AAM) 16.1.0 から 16.1.4
• BIG-IP Application Acceleration Manager (AAM) 17.1.0
• BIG-IP Application Security Manager (ASM) 13.1.0 から 13.1.5
• BIG-IP Application Security Manager (ASM) 14.1.0 から 14.1.5
• BIG-IP Application Security Manager (ASM) 15.1.0 から 15.1.10
• BIG-IP Application Security Manager (ASM) 16.1.0 から 16.1.4
• BIG-IP Application Security Manager (ASM) 17.1.0
• BIG-IP Application Visibility and Reporting
• BIG-IP Carrier-Grade Network Address Translation (CGNAT)
• BIG-IP DDoS Hybrid Defender
• BIG-IP Domain Name System (DNS)
• BIG-IP Fraud Protection Service (FPS)
• BIG-IP Global Traffic Manager (GTM)

Light Code Labs

• Caddy 2.7.5 未満

nghttp2 project

• nghttp2 1.57.0 未満

The Go Project

• Go 1.20.10 未満
• Go 1.21.0 以上 1.21.3 未満
• http2 0.17.0 未満
• networking 0.17.0 未満

The Netty project

• Netty 4.1.100 未満

アップル

• SwiftNIO HTTP/2 1.28.0 未満

インターネット技術タスクフォース (IETF)

• http 2.0

日立

• Cosminexus Component Container
• uCosminexus Application Server
• uCosminexus Application Server-R
• uCosminexus Developer
• uCosminexus Primary Server Base
• uCosminexus Service Architect
• uCosminexus Service Platform

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

サービス運用妨害 (DoS) 状態にされる可能性があります。

ベンダアドバイザリまたはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。

Apache Software Foundation

• GitHub : help request: What's the action for CVE-2023-44487 ? #10320
• GitHub : Document non-impact of CVE-2023-44487 #10
• GitHub : httpd/modules/http2/h2_mplx.c
• GitHub : tomcat/java/org/apache/coyote/http2/
• GitHub : Add an HTTP/2 related rate limiting #10564
• Pony Mail : ATS is vulnerable to a HTTP/2 and s3 auth plugin attacks

Eclipse Foundation

• GitHub : Allow HTTP/2 rate control to mitigate HTTP/2 floods (CVE-2023-44487) #10679

Envoy Proxy

• GitHub : http: Fix CVE CVE-2023-44487 #30055

F5 Networks

• Security Advisory : K000137106

Light Code Labs

• GitHub : HTTP/2 Rapid Reset : CVE-2023-44487 #5877
• GitHub : v2.7.5

nghttp2 project

• GitHub : Rework session management #1961
• GitHub : nghttp2 v1.57.0

The Go Project

• GitHub : net/http, x/net/http2: rapid stream resets can cause excessive work (CVE-2023-39325) #63417
• Google Groups : [security] Go 1.21.3 and Go 1.20.10 are released

The Netty project

• GitHub : Merge pull request from GHSA-xpw8-rcwv-8f8p
• The Netty project : Netty 4.1.100.Final released

アップル

• Swift : Swift-nio-http2 security update: CVE-2023-44487 HTTP/2 DOS

インターネット技術タスクフォース (IETF)

• IETF : Top Page

日立

• Hitachi Software Vulnerability Information : hitachi-sec-2024-116
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-116

1. リソースの枯渇(CWE-400) [NVD評価]

1. CVE-2023-44487

1. JVN : JVNVU#93656033
2. National Vulnerability Database (NVD) : CVE-2023-44487
3. CISA Known Exploited Vulnerabilities Catalog : CVE-2023-44487
4. ICS-CERT ADVISORY : ICSA-24-074-05
5. 関連文書 : www.openwall.com (oss-security/2023/10/13/4)
6. 関連文書 : www.openwall.com (oss-security/2023/10/13/9)
7. 関連文書 : www.openwall.com (oss-security/2023/10/18/4)
8. 関連文書 : www.openwall.com (oss-security/2023/10/18/8)
9. 関連文書 : www.openwall.com (oss-security/2023/10/19/6)
10. 関連文書 : www.openwall.com (oss-security/2023/10/20/8)
11. 関連文書 : access.redhat.com (cve-2023-44487)
12. 関連文書 : arstechnica.com (how-ddosers-used-the-http-2-protocol-to-deliver-attacks-of-unprecedented-size)
13. 関連文書 : aws.amazon.com (AWS-2023-011)
14. 関連文書 : blog.cloudflare.com (technical-breakdown-http2-rapid-reset-ddos-attack)
15. 関連文書 : blog.cloudflare.com (zero-day-rapid-reset-http2-record-breaking-ddos-attack)
16. 関連文書 : blog.litespeedtech.com (rapid-reset-http-2-vulnerablilty)
17. 関連文書 : blog.qualys.com (cve-2023-44487-http-2-rapid-reset-attack)
18. 関連文書 : blog.vespa.ai (cve-2023-44487)
19. 関連文書 : bugzilla.proxmox.com (4988)
20. 関連文書 : bugzilla.redhat.com (2242803)
21. 関連文書 : bugzilla.suse.com (1216123)
22. 関連文書 : cgit.freebsd.org (commit/c64c329c2c1752f46b73e3e6ce9f4329be6629f9)
23. 関連文書 : cloud.google.com (google-cloud-mitigated-largest-ddos-attack-peaking-above-398-million-rps)
24. 関連文書 : cloud.google.com (how-it-works-the-novel-http2-rapid-reset-ddos-attack)
25. 関連文書 : community.traefik.io (is-traefik-vulnerable-to-cve-2023-44487/20125)
26. 関連文書 : discuss.hashicorp.com (hcsec-2023-32-vault-consul-and-boundary-affected-by-http-2-rapid-reset-denial-of-service-vulnerability-cve-2023-44487/59715)
27. 関連文書 : edg.io (resets-leaks-ddos-and-the-tale-of-a-hidden-cve)
28. 関連文書 : gist.github.com (7c2bfb8e9cdbe4b35a5e131c66a0c088)
29. 関連文書 : github.com (issues/3947)
30. 関連文書 : github.com (discussions/11741)
31. 関連文書 : github.com (GHSA-qppj-fm5r-hxr3)
32. 関連文書 : github.com (GHSA-vx74-f528-fxqg)
33. 関連文書 : github.com (GHSA-xpw8-rcwv-8f8p)
34. 関連文書 : github.com (issues/4323)
35. 関連文書 : github.com (issues/1872)
36. 関連文書 : github.com (CVE-2023-44487)
37. 関連文書 : github.com (CVE-2023-44487)
38. 関連文書 : github.com (issues/277)
39. 関連文書 : github.com (6.0.23.md?plain=1#L73)
40. 関連文書 : github.com (issues/16740)
41. 関連文書 : github.com (pull/466)
42. 関連文書 : github.com (pull/6703)
43. 関連文書 : github.com (pull/3291)
44. 関連文書 : github.com (GHSA-2m7v-gc89-fjqf)
45. 関連文書 : github.com (issues/2312)
46. 関連文書 : github.com (README.md?plain=1#L239-L244)
47. 関連文書 : github.com (issues/97)
48. 関連文書 : github.com (f61d41a502bd0f60eb24e1ce14edc7b6df6722a1)
49. 関連文書 : github.com (issues/93)
50. 関連文書 : github.com (pull/121120)
51. 関連文書 : github.com (pull/5232)
52. 関連文書 : github.com (4b9c6836471bc8270ab48aae6fd2181bc73fd632)
53. 関連文書 : github.com (http2-rst-stream)
54. 関連文書 : github.com (pull/6381)
55. 関連文書 : github.com (issues/1615)
56. 関連文書 : github.com (pull/50121)
57. 関連文書 : github.com (issues/930)
58. 関連文書 : github.com (issues/3474)
59. 関連文書 : github.com (discussions/3367)
60. 関連文書 : github.com (pull/5826)
61. 関連文書 : github.com (issues/1986)
62. 関連文書 : github.com (issues/3996)
63. 関連文書 : istio.io (istio-security-2023-004)
64. 関連文書 : linkerd.io (linkerd-cve-2023-44487)
65. 関連文書 : lists.debian.org (msg00020)
66. 関連文書 : lists.debian.org (msg00023)
67. 関連文書 : lists.debian.org (msg00024)
68. 関連文書 : lists.debian.org (msg00045)
69. 関連文書 : lists.debian.org (msg00047)
70. 関連文書 : lists.debian.org (msg00001)
71. 関連文書 : lists.debian.org (msg00012)
72. 関連文書 : lists.fedoraproject.org (2MBEPPC36UBVOZZNAXFHKLFGSLCMN5LI)
73. 関連文書 : lists.fedoraproject.org (3N4NJ7FR4X4FPZUGNTQAPSTVB2HB2Y4A)
74. 関連文書 : lists.fedoraproject.org (BFQD3KUEMFBHPAPBGLWQC34L4OWL5HAZ)
75. 関連文書 : lists.fedoraproject.org (CLB4TW7KALB3EEQWNWCN7OUIWWVWWCG2)
76. 関連文書 : lists.fedoraproject.org (E72T67UPDRXHIDLO3OROR25YAMN4GGW5)
77. 関連文書 : lists.fedoraproject.org (FNA62Q767CFAFHBCDKYNPBMZWB7TWYVU)
78. 関連文書 : lists.fedoraproject.org (HT7T2R4MQKLIF4ODV4BDLPARWFPCJ5CZ)
79. 関連文書 : lists.fedoraproject.org (JIZSEFC3YKCGABA2BZW6ZJRMDZJMB7PJ)
80. 関連文書 : lists.fedoraproject.org (JMEXY22BFG5Q64HQCM5CK2Q7KDKVV4TY)
81. 関連文書 : lists.fedoraproject.org (KSEGD2IWKNUO3DWY4KQGUQM5BISRWHQE)
82. 関連文書 : lists.fedoraproject.org (LKYHSZQFDNR7RSA7LHVLLIAQMVYCUGBG)
83. 関連文書 : lists.fedoraproject.org (LNMZJCDHGLJJLXO4OXWJMTVQRNWOC7UL)
84. 関連文書 : lists.fedoraproject.org (VHUHTSXLXGXS7JYKBXTA3VINUPHTNGVU)
85. 関連文書 : lists.fedoraproject.org (VSRDIV77HNKUSM7SJC5BKE5JSHLHU2NK)
86. 関連文書 : lists.fedoraproject.org (WE2I52RHNNU42PX6NZ2RBUHSFFJ2LVZX)
87. 関連文書 : lists.fedoraproject.org (WLPRQ5TWUQQXYWBJM7ECYDAIL2YVKIUH)
88. 関連文書 : lists.fedoraproject.org (X6QXN4ORIVF6XBW4WWFE7VNPVC74S45Y)
89. 関連文書 : lists.fedoraproject.org (XFOIBB4YFICHDM7IBOP7PWXW3FX4HLL2)
90. 関連文書 : lists.fedoraproject.org (ZB43REMKRQR62NJEI7I5NQ4FSXNLBKRT)
91. 関連文書 : lists.fedoraproject.org (ZKQSIKIAT5TJ3WSLU3RDBQ35YX4GY4V3)
92. 関連文書 : lists.fedoraproject.org (ZLU6U2R2IC2K64NDPNMV55AUAO65MAF4)
93. 関連文書 : lists.w3.org (0025)
94. 関連文書 : mailman.nginx.org (S36Q5HBXR7CAIMPLLPRSSSYR4PCMWILK)
95. 関連文書 : martinthomson.github.io (draft-thomson-httpbis-h2-stream-limits)
96. 関連文書 : msrc.microsoft.com (microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2)
97. 関連文書 : msrc.microsoft.com (CVE-2023-44487)
98. 関連文書 : news.ycombinator.com (37830987)
99. 関連文書 : news.ycombinator.com (37830998)
100. 関連文書 : news.ycombinator.com (37831062)
101. 関連文書 : news.ycombinator.com (37837043)
102. 関連文書 : openssf.org (http-2-rapid-reset-vulnerability-highlights-need-for-rapid-response)
103. 関連文書 : seanmonstar.com (hyper-http2-rapid-reset-unaffected)
104. 関連文書 : security.gentoo.org (202311-09)
105. 関連文書 : security.netapp.com (ntap-20231016-0001)
106. 関連文書 : security.paloaltonetworks.com (CVE-2023-44487)
107. 関連文書 : tomcat.apache.org (security-10.html#Fixed_in_Apache_Tomcat_10.1.14)
108. 関連文書 : ubuntu.com (CVE-2023-44487)
109. 関連文書 : www.bleepingcomputer.com (new-http-2-rapid-reset-zero-day-attack-breaks-ddos-records)
110. 関連文書 : www.cisa.gov (http2-rapid-reset-vulnerability-cve-2023-44487)
111. 関連文書 : www.darkreading.com (internet-wide-zero-day-bug-fuels-largest-ever-ddos-event)
112. 関連文書 : www.debian.org (dsa-5521)
113. 関連文書 : www.debian.org (dsa-5522)
114. 関連文書 : www.debian.org (dsa-5540)
115. 関連文書 : www.debian.org (dsa-5549)
116. 関連文書 : www.debian.org (dsa-5558)
117. 関連文書 : www.debian.org (dsa-5570)
118. 関連文書 : www.haproxy.com (haproxy-is-not-affected-by-the-http-2-rapid-reset-attack-cve-2023-44487)
119. 関連文書 : www.netlify.com (netlify-successfully-mitigates-cve-2023-44487)
120. 関連文書 : www.nginx.com (http-2-rapid-reset-attack-impacting-f5-nginx-products)
121. 関連文書 : www.openwall.com (oss-security/2023/10/10/6)
122. 関連文書 : www.phoronix.com (HTTP2-Rapid-Reset-Attack)
123. 関連文書 : www.theregister.com (http2_rapid_reset_zeroday)

• [2023年12月27日]
    掲載
• [2024年03月13日]
    影響を受けるシステム：ベンダ情報の追加に伴い内容を更新
    ベンダ情報：日立 (hitachi-sec-2024-116) を追加
• [2024年03月27日]
    参考情報：JVN (JVNVU#93656033) を追加
    参考情報：ICS-CERT ADVISORY (ICSA-24-074-05) を追加