【CVE-2024-49768】Waitressに重大な脆弱性、HTTPパイプライン処理のレースコンディションが発見され即急な対応が必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Waitressに重大なHTTPパイプライン処理の脆弱性が発見
無効な最初のリクエストによる競合状態が発生
Waitress 3.0.1で修正されたレースコンディション

Waitressのレースコンディションの脆弱性

Web Server Gateway Interfaceサーバーであるプロジェクトのメンテナーは、重大な脆弱性【CVE-2024-49768】を2024年10月29日に公開した。この脆弱性は、HTTPパイプライニングを使用した際に無効な最初のリクエストにより競合状態が発生し、不正なリクエストの処理を許してしまう深刻な問題となっている。^[1]

リクエストルックアヘッドが有効になっている場合、最初のリクエストを処理して受信し、エラーメッセージを返送している間に次のリクエストを読み取りキューに入れることが可能となってしまう。ワーカースレッドがエラー処理を行っている最中に、次のリクエストが処理されてしまう状況が発生する可能性が高い。

この脆弱性に対する重要度はCVSS v3.1で9.1（クリティカル）と評価されており、攻撃元区分はネットワークで、攻撃条件の複雑さは低いとされている。特権レベルは不要であり、ユーザーの関与も必要ないため、機密性と整合性に高いレベルの影響を与える可能性がある。

Waitress 3.0.1の脆弱性情報まとめ

項目	詳細
CVE番号	CVE-2024-49768
影響を受けるバージョン	2.0.0以上、3.0.1未満
CVSS重要度	9.1（クリティカル）
CWE分類	CWE-367、CWE-444
対処方法	Waitress 3.0.1へのアップデートまたはchannel_request_lookaheadの無効化

レースコンディションについて

レースコンディションとは、複数のプロセスやスレッドが共有リソースに同時にアクセスする際に発生する競合状態のことを指す。主な特徴として以下のような点が挙げられる。

タイミングに依存した予測不可能な動作を引き起こす
データの整合性や安全性を損なう可能性がある
並行処理システムで発生しやすい脆弱性

Waitressの事例では、HTTPパイプライニングを利用した際にリクエスト処理のタイミングで競合状態が発生している。エラー処理中の接続が適切に閉じられる前に次のリクエストが処理されてしまうことで、本来拒否されるべきリクエストが処理されてしまう可能性があるのだ。

Waitressの脆弱性に関する考察

Waitressの脆弱性対策として、channel_request_lookaheadを無効化するという暫定的な対応が提供されたことは評価できる。しかしHTTPパイプライニングは性能向上のための重要な機能であり、完全に無効化することはサービスの質の低下につながる可能性が高いため、より洗練された解決策が望まれるだろう。

今後はリクエスト処理の並行性を維持しながら、エラー処理時の接続管理をより厳密に行う仕組みの実装が期待される。特にエラー処理中の接続状態の管理と、後続リクエストの適切な遮断メカニズムの実装が重要になってくるはずだ。

Waitressの開発チームには、HTTPパイプライニングの性能最適化と安全性の両立を目指した継続的な改善が求められる。特にリクエストの検証プロセスとエラーハンドリングの強化により、同様の脆弱性の再発を防ぐことが重要である。