【CVE-2024-8184】JettyのThreadLimitHandlerに重大な脆弱性、DoS攻撃のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

JettyのThreadLimitHandler.getRemote()にDoS攻撃の脆弱性
OutofMemory errorによるサーバーメモリー枯渇のリスク
Jetty 9.3.12から12.0.8までの複数バージョンが影響

JettyのThreadLimitHandlerに存在する深刻なDoS脆弱性

Eclipse Foundationは2024年10月14日、JettyのThreadLimitHandler.getRemote()に存在する深刻な脆弱性【CVE-2024-8184】を公開した。この脆弱性は認証されていないユーザーによってリモートからのDoS攻撃が可能となり、巧妙に細工されたリクエストを繰り返し送信することでサーバーのメモリーを枯渇させることができる問題となっている。^[1]

影響を受けるバージョンは、Jetty 9.3.12から9.4.55、10.0.0から10.0.23、11.0.0から11.0.23、12.0.0から12.0.8までの広範囲に及んでいる。CISAによる評価では、この脆弱性は技術的な影響度が部分的であり、自動化された攻撃が可能とされている。

この脆弱性はCVSS v3.1のスコアリングシステムで5.9（MEDIUM）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは高いとされている。また、この攻撃に必要な特権レベルは不要だが、ユーザーの関与なしで実行可能であり、可用性への影響が高いとされている。

Jettyの脆弱性影響範囲まとめ

バージョン	影響度
Jetty 9.3.12-9.4.55	影響あり
Jetty 10.0.0-10.0.23	影響あり
Jetty 11.0.0-11.0.23	影響あり
Jetty 12.0.0-12.0.8	影響あり

DoS攻撃について

DoS攻撃とは「Denial of Service attack」の略称で、サービスの可用性を妨害することを目的とした攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

システムリソースを大量に消費させる攻撃手法
サービスの停止や遅延を引き起こす
正規ユーザーのサービス利用を妨害する

今回のJettyの脆弱性では、ThreadLimitHandler.getRemote()の実装に問題があり、攻撃者が巧妙に細工されたリクエストを送信することでOutofMemory errorを引き起こすことが可能となっている。この攻撃は認証なしで実行可能であり、サーバーのメモリリソースを枯渇させることでサービスの可用性を著しく低下させる危険性がある。

Jettyの脆弱性対策に関する考察

JettyのThreadLimitHandler.getRemote()の脆弱性は、Webアプリケーションサーバーのセキュリティ設計における重要な課題を浮き彫りにしている。特にメモリリソース管理の観点から、リクエスト処理時のリソース制限やバッファサイズの適切な設定が不可欠であり、今後はより厳密なリソース管理メカニズムの実装が求められるだろう。

セキュリティ対策として、アプリケーションレベルでのリクエスト制限やレート制限の実装が有効な対抗手段となる可能性がある。また、システムモニタリングの強化によってメモリ使用量の異常を早期に検知し、DoS攻撃の兆候を察知できる体制を整えることが重要となるだろう。

今後は、ThreadLimitHandlerの実装におけるメモリ管理の最適化や、より安全なリクエスト処理メカニズムの導入が期待される。また、セキュリティコミュニティとの連携を強化し、脆弱性の早期発見と迅速な対応体制の確立が必要不可欠だ。