複数の HTTP/2 実装に CONTINUATION フレームの取り扱い不備 | ScanNetSecurity
2026.07.15(水)

複数の HTTP/2 実装に CONTINUATION フレームの取り扱い不備

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月9日、複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は4月9日、複数のHTTP/2実装におけるCONTINUATIONフレームの取り扱い不備について「Japan Vulnerability Notes(JVN)」で発表した。公表時点での影響を受ける製品は以下の通り。

Node.js HTTP/2 server(CVE-2024-27983)
Envoy HTTP/2 codec(CVE-2024-27919、CVE-2024-30255)
Tempesta FW(CVE-2024-2758)
amphp/http(CVE-2024-2653)
Go net/http および net/http2(CVE-2023-45288)
nghttp2(CVE-2024-28182)
Apache httpd(CVE-2024-27316)
Apache Traffic Server(CVE-2024-31309)

 HTTP/2プロトコルでは、リクエストやレスポンスを複数の「フレーム」からなる「ストリーム」としてやりとりしており、ヘッダ情報はHEADERSフレームで送ることとされているが、一つのHEADERSフレームに収まらない場合には、後続の情報をCONTINUATIONフレームを使って送り、ヘッダ情報を含む最後のフレームにはEND_HEADERSフラグを立ててヘッダ情報の最後であることを示している。

 JVNによると、複数のHTTP/2実装に対して、CONTINUATIONフレームの取り扱い不備を悪用することでサービス運用妨害(DoS)攻撃が可能となる問題が報告されており、報告者の記事では、CONTINUATIONフレームを送り続けることによるCPU処理負荷の増大やメモリ枯渇、アサーションエラーを発生させることによる異常終了などの例が説明されている。

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

    村田製作所 IT環境への不正アクセス、自動車保険の顧客情報一部が外部に漏えい

  2. 日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

    日本交通が不正アクセスでシステムを緊急遮断、タクシー配車やハイヤー予約等に一部影響

  3. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  4. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  5. 川崎フロンターレのユニフォームデザインが流出、SNSメディアが取材した動画に写り込み

    川崎フロンターレのユニフォームデザインが流出、SNSメディアが取材した動画に写り込み

ランキングをもっと見る
PageTop