セキュリティ

SECURITY

公開：2024-11-13

【CVE-2024-6763】JettyのHttpURIクラスに脆弱性、オープンリダイレクトとSSRF攻撃のリスクが浮上

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• JettyのHttpURIクラスでURI解析の脆弱性が発見
• URI authority部分の検証が不十分で攻撃の危険性
• Jetty 7.0.0から12.0.11まで影響を受ける

JettyのHttpURIクラスの脆弱性

Eclipse Foundationは2024年10月14日、Eclipse JettyのHttpURIクラスにおけるURI解析の脆弱性【CVE-2024-6763】を公開した。HttpURIクラスはURI/URL解析のためのユーティリティクラスであり、URIのauthority部分における検証が不十分であることが判明している。^[1]

この脆弱性は一般的なブラウザとJettyのURI処理の挙動の違いに起因しており、RFC準拠の観点から無効とされるべきURIの扱いが異なることで問題が発生する。無効なURIに対するホスト値の抽出方法の違いにより、オープンリダイレクトやSSRF攻撃の可能性が生じる危険性がある。

影響を受けるバージョンはJetty 7.0.0から12.0.11までの全バージョンとなっている。CVSS3.1のスコアは3.7でLowと評価されているが、攻撃者がネットワークを介して攻撃可能であり、特権は不要で情報の完全性に影響を与える可能性がある深刻な問題だ。

JettyのHttpURI脆弱性の詳細

SSRFについて

SSRFとは、Server-Side Request Forgeryの略称で、攻撃者が脆弱なWebアプリケーションを介してサーバーに不正なリクエストを送信させる攻撃手法のことを指す。主な特徴として、以下のような点が挙げられる。

• 内部ネットワークへのアクセスが可能になる
• ファイアウォールをバイパスできる可能性がある
• サーバー上の機密情報が漏洩する危険性がある

JettyのHttpURIクラスにおける脆弱性は、無効なURIの処理方法の違いによってSSRF攻撃が可能になる可能性がある。攻撃者がこの脆弱性を悪用すると、内部システムへのアクセスや機密情報の取得などの被害が発生する可能性が高い。

JettyのHttpURI脆弱性に関する考察

HttpURIクラスの脆弱性は、ブラウザとJettyの実装の違いによって引き起こされる問題であり、標準化されたURIの解析方法の重要性を示している。特にマイクロサービスアーキテクチャが普及する現代において、URIの解析における厳密な検証と標準準拠の実装が不可欠になっているのだ。

今後はURIの解析処理における標準化の推進と、各実装間での挙動の違いを最小限に抑える取り組みが重要になるだろう。特にセキュリティ面での影響が大きいコンポーネントについては、RFC準拠の徹底的な検証と、異なる実装間での相互運用性の確保が求められる。

また、オープンソースプロジェクトにおけるセキュリティレビューの重要性も再認識させられる事例となった。コミュニティ主導の開発において、セキュリティ専門家による定期的なコードレビューと脆弱性検査の仕組みを確立することが望まれる。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-6763, (参照 24-11-13).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧