JVNDB-2024-029765

 apollographqlのapollo routerにおける高圧縮データの処理 (データ増幅)に関する脆弱性

Apollo Routerは、Apollo Federationを使用してフェデレーテッド・スーパーグラフを実行するためにRustで書かれたグラフルーターです。バージョン0.9.5から1.40.2までの間にサービス拒否（DoS）型の脆弱性が存在します。圧縮されたHTTPペイロードを受信した場合、該当するRouterのバージョンでは、圧縮されたペイロード全体を展開した後で「limits.http_max_request_bytes」構成オプションを評価します。そのため、高度に圧縮されたペイロードを受信すると、展開時に大量のメモリを消費する可能性があります。この脆弱性はバージョン1.40.2で修正されています。アップグレードが難しい場合は、Router群の前段にあるプロキシやロードバランサ（例：Nginx、HAProxy、クラウドネイティブWAFサービス）でHTTPボディのアップロードサイズを制限設定することで、対策を講じることができます。

apollographql

• apollo router 0.9.5 以上 1.40.2 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。
また、当該ソフトウェアが扱う情報について、書き換えは発生しません。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Compressed Payloads do not respect HTTP Payload Limits  Advisory  apollographql/router  GitHub

1. 高圧縮データの不適切な処理 (データ増幅)(CWE-409) [その他]

1. CVE-2024-28101

1. National Vulnerability Database (NVD) : CVE-2024-28101
2. 関連文書 : streaming body decompression  apollographql/router@9e9527c  GitHub

• [2026年01月06日]
    掲載