【CVE-2024-6762】JettyのPushSessionCacheFilterに認証不要のDoS攻撃の脆弱性、複数バージョンに影響

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

Jettyの複数バージョンにDoS攻撃の脆弱性が発見
認証されていないユーザーによるメモリ枯渇の危険性
PushSessionCacheFilterに関連する深刻な問題

JettyのPushSessionCacheFilterにDoS攻撃の脆弱性

Eclipse Foundationは2024年10月14日、JettyのPushSessionCacheFilterに認証されていないユーザーによるDoS攻撃が可能な脆弱性【CVE-2024-6762】を公開した。この脆弱性は複数のバージョンに影響を与え、バージョン10.0.0から10.0.17、11.0.0から11.0.17、12.0.0から12.0.3において深刻な問題となっている。^[1]

認証されていないユーザーがサーバのメモリを枯渇させることが可能となり、サービスの可用性に重大な影響を及ぼす可能性が指摘されている。CVSSスコアは3.1とLowに分類されているが、攻撃の容易さと影響範囲を考慮すると早急な対応が必要となるだろう。

Eclipse Foundationはこの脆弱性に対する修正パッチをすでに準備しており、影響を受けるバージョンのユーザーに対して速やかなアップデートを推奨している。脆弱性の発見者であるLian Keeによって報告された問題に対し、複数のプルリクエストを通じて対応が進められている。

JettyのPushSessionCacheFilter脆弱性の詳細

項目	詳細
CVE番号	CVE-2024-6762
影響を受けるバージョン	10.0.0-10.0.17, 11.0.0-11.0.17, 12.0.0-12.0.3
脆弱性の種類	リソース枯渇によるDoS攻撃
CVSSスコア	3.1 (Low)
攻撃条件	認証不要、ネットワークアクセス必要

DoS攻撃について

DoS攻撃とは、Denial of Serviceの略称でシステムやネットワークのリソースを意図的に枯渇させ、本来のサービスを利用できない状態にする攻撃手法のことを指す。以下のような特徴がある。

システムリソースの過剰消費による機能停止
ネットワーク帯域幅の占有によるサービス妨害
メモリやCPUリソースの枯渇による性能低下

JettyのPushSessionCacheFilterの脆弱性では、認証されていないユーザーがサーバのメモリリソースを意図的に枯渇させることが可能となっている。この攻撃によってサーバの応答が遅延したり、最悪の場合はサービスが完全に停止する可能性があるため、早急な対策が求められる。

JettyのPushSessionCacheFilter脆弱性に関する考察

PushSessionCacheFilterの脆弱性が発見されたことで、Webアプリケーションのセッション管理における安全性の重要性が改めて浮き彫りとなった。認証されていないユーザーによる攻撃が可能という点は、特にパブリックなWebサービスを提供する組織にとって重大な懸念事項となるだろう。早期の脆弱性発見とパッチの提供は評価に値する。

今後の課題として、セッション管理機能におけるリソース制限の実装や監視体制の強化が挙げられる。メモリ使用量の上限設定やアクセス制限の導入など、複数の防御層を設けることでより強固なセキュリティ対策を実現できる可能性がある。また、定期的なセキュリティ監査の実施も重要となるだろう。

将来的には、コンテナ化されたアプリケーションにおけるリソース管理との連携強化も期待される。Kubernetesなどのコンテナオーケストレーションツールと組み合わせることで、より柔軟なリソース制御が可能になるかもしれない。セキュリティと可用性のバランスを取りながら、継続的な改善が必要となる。