セキュリティ

SECURITY

公開：2024-07-07

Apache TomcatのHTTP2ストリーム処理に脆弱性、DoS攻撃のリスクが浮上

text: XEXEQ編集部

記事の要約

• Apache TomcatにDoS脆弱性が発見された
• HTTP/2ストリーム処理に問題がある
• 影響を受けるバージョンが公開された
• アップデートによる対策が推奨されている

Apache TomcatのDoS脆弱性とその影響

Apache Software Foundationは、Apache Tomcatに深刻な脆弱性（CVE-2024-34750）が存在することを公表した。この脆弱性は、HTTP/2ストリームを処理する際にHTTPヘッダーを適切に処理しないことに起因している。結果として、アクティブなHTTP/2ストリームが誤ってカウントされ、本来クローズされるべき接続がオープンされたままとなる問題が発生する。^[1]

この脆弱性の影響を受けるバージョンは、Apache Tomcat 11.0.0-M1から11.0.0-M20、10.1.0-M1から10.1.24、9.0.0-M1から9.0.89までと広範囲に及んでいる。攻撃者がこの脆弱性を悪用した場合、サービス運用妨害（DoS）攻撃を仕掛けることが可能となり、システムの安定性と可用性に重大な影響を及ぼす可能性がある。

サービス運用妨害（DoS）とは

サービス運用妨害（DoS：Denial of Service）とは、コンピュータやネットワークのリソースを意図的に枯渇させ、本来のサービスを利用不可能にする攻撃手法を指す。主な特徴として、以下のような点が挙げられる。

• システムのリソースを過剰に消費させる
• ネットワーク帯域を占有する
• サーバーの処理能力を低下させる
• 正規ユーザーのサービス利用を妨げる
• システムの安定性や可用性を損なう

Apache Tomcatの脆弱性の場合、HTTP/2ストリームの不適切な処理により、システムリソースが枯渇し、正常なサービス提供が困難になる可能性がある。このような攻撃は、ウェブサービスの信頼性を著しく低下させ、ビジネスに重大な影響を与える可能性があるため、早急な対策が求められる。

Apache Tomcatの脆弱性対策に関する考察

今後、Apache Tomcatの脆弱性を悪用したDoS攻撃が増加する可能性がある。特に、アップデートが遅れている組織や、セキュリティ対策が不十分な中小企業が標的となる可能性が高い。そのため、セキュリティ監視の強化と、迅速なパッチ適用プロセスの確立が急務となるだろう。

Apache Software Foundationには、今回のような脆弱性を事前に検出できるような、より強固な品質管理プロセスの導入が期待される。また、ユーザー側でも、HTTP/2ストリームの異常を検知し、自動的に遮断するような機能の追加が望まれる。このような機能は、今後のバージョンアップで実装されることが期待される。

この脆弱性対策は、Apache Tomcatを利用しているウェブサービス提供者にとって大きな恩恵となる。迅速なアップデートにより、サービスの安定性と信頼性を維持することができる。一方で、攻撃者にとっては新たな攻撃ベクトルを失うことになり、一時的な損失となるだろう。セキュリティ対策は常に進化し続ける必要があり、今後も継続的な警戒が求められる。

参考サイト

1. ^ JVN. 「JVNVU#90387090: Apache Tomcatにおけるサービス運用妨害（DoS）の脆弱性」. https://jvn.jp/vu/JVNVU90387090/index.html, (参照 24-07-07).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧