セキュリティ

SECURITY

公開：2024-11-14

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1.3早期データとQUIC 0-RTTで問題に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• h2oサーバーにおけるアクセス制御バイパスの脆弱性
• TLS/1.3早期データとIPアドレス制御の問題
• コミット15ed15aで修正済み

h2oサーバーのアクセス制御バイパス脆弱性

h2oは2024年10月11日、HTTP/1.x、HTTP/2、およびHTTP/3をサポートするHTTPサーバーにおいて、アクセス制御をバイパス可能な脆弱性【CVE-2024-45397】を公開した。TLS/1.3早期データを使用したTCP Fast Open上やQUIC 0-RTTパケットでHTTPリクエストを受信した際に、IPアドレスベースのアクセス制御が正常に機能しないことが判明している。^[1]

この脆弱性により、ネットワーク上の攻撃者は通常アクセス制御によって拒否されるべきアドレスからのHTTPリクエストを実行することが可能となる。脆弱性は既にコミット15ed15aで修正されており、ユーザーは対策としてTCP FastOpenとQUICの使用を無効化することも選択肢として挙げられている。

CVSSスコアは5.9（MEDIUM）と評価されており、攻撃元区分はネットワーク、攻撃条件の複雑さは高いとされている。特権レベルやユーザーの関与は不要であるが、機密性への影響が高いという特徴を持つ脆弱性であることが確認されている。

h2oサーバーの脆弱性情報まとめ

IPアドレスベースのアクセス制御について

IPアドレスベースのアクセス制御とは、ネットワークセキュリティにおいて重要な要素であり、以下のような特徴を持つ技術である。

• 送信元IPアドレスに基づくアクセス制限
• 許可・拒否リストによる通信制御
• ネットワークレベルでのセキュリティ確保

今回の脆弱性では、TLS/1.3早期データやQUIC 0-RTTパケットを使用することで、IPアドレスベースのアクセス制御が正しく機能しないことが問題となっている。この問題により、本来アクセスを拒否すべきIPアドレスからのリクエストが許可されてしまい、セキュリティ上の重大な脅威となることが指摘されている。

h2oサーバーの脆弱性に関する考察

今回のアクセス制御バイパス脆弱性は、近代的なHTTPプロトコルとセキュリティ機能の相互作用における課題を浮き彫りにしている。特にTLS/1.3やQUICなどの新しいプロトコルを実装する際には、既存のセキュリティ機能との整合性を慎重に検証する必要性が明らかになったと言えるだろう。

将来的には、プロトコルの進化に伴い、同様の問題が他のサーバーソフトウェアでも発生する可能性が考えられる。セキュリティチェックの順序や、早期データ処理時のアクセス制御の在り方について、業界全体で再考が必要になるかもしれない。

今後は、高速化技術とセキュリティ機能の両立という観点から、より堅牢なアクセス制御メカニズムの開発が期待される。特にゼロトラストセキュリティの文脈において、IPアドレスベースの制御に依存しない新しい認証・認可の仕組みの検討も必要になってくるだろう。

参考サイト

1. ^ CVE. 「CVE Record | CVE」. https://www.cve.org/CVERecord?id=CVE-2024-45397, (参照 24-11-14).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧