Node.js の HTTP パーサにおけるサービス運用妨害 (DoS) の脆弱性(Scan Tech Report) | ScanNetSecurity
2026.07.03(金)

Node.js の HTTP パーサにおけるサービス運用妨害 (DoS) の脆弱性(Scan Tech Report)

Node.js の HTTP パーサには、サービス運用妨害 (DoS) の脆弱性が存在します。リモートの第三者に悪用されると、メモリや CPU の消費によるサービス運用妨害 (DoS) 状態を引き起こす可能性があります。使用している Node.jsをアップデートすることで対策できます。

脆弱性と脅威 エクスプロイト
1.概要
Node.js の HTTP パーサには、サービス運用妨害 (DoS) の脆弱性が存在します。リモートの第三者に悪用されると、メモリや CPU の消費によるサービス運用妨害 (DoS) 状態を引き起こす可能性があります。使用している Node.jsをアップデートすることで対策できます。


2.深刻度(CVSS)
5.0
http://nvd.nist.gov/cvss.cfm?name=&vector=%28AV:N/AC:L/Au:N/C:N/I:N/A:P%29&version=2


3.影響を受けるソフトウェア ※
Node.js 0.10.21 未満
Node.js 0.8.26 未満


4.解説
Node.js は、サーバサイドで動作する JavaScript の実行環境を提供するソフトウェアです。この Node.js の HTTP パーサに、サービス運用妨害 (DoS) 状態になる脆弱性が存在します。

攻撃者が、レスポンスを読み込まずに大量のパイプライン化された HTTP リクエストを Nodo.js が設置されたサーバに送信することで、当該サーバ上でメモリや CPU を過度に消費される可能性があります。

検証コードを実行すると、攻撃開始すぐに CPU 使用率が 90% 以上に上昇し、メモリ使用率が徐々に増加します。DoS 状態は細工したリクエストを処理している間のみです。細工したリクエストの送信を中断した後、しばらくするとサーバの負荷は攻撃前の状態に戻ります。

そのため、この脆弱性を悪用する攻撃は、継続的にリクエストを送信しつづける必要があると考えられます。Node.js のアップデートがすぐにできない場合は、一定期間に一定数のリクエストがあった場合に、WAF (Web Application Firewall)などで当該リクエストを遮断することで、被害を軽減することが可能です。


5.対策
下記の Web サイトから最新版を入手しアップデートすることで、この脆弱性
を解消することが可能です。

node.js
http://nodejs.org/


6.ソースコード
(Web非公開)

(執筆:株式会社ラック サイバー救急センタ- 脅威分析グループ

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。

Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  2. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  5. 現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

    現代仏壇に不正アクセス、親会社である株式会社はせがわが保有する個人情報には影響無し

ランキングをもっと見る
PageTop