複数の HTTP/2 サーバ実装にストリームリセット処理の不備 | ScanNetSecurity
2025.10.24(金)

複数の HTTP/2 サーバ実装にストリームリセット処理の不備

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月26日、複数のHTTP/2サーバ実装におけるストリームリセット処理の不備について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月26日、複数のHTTP/2サーバ実装におけるストリームリセット処理の不備について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムについて、2025年8月26日時点での各ベンダのステータスは下記の通り。

NTT-CERT:該当製品無し(調査中)
オムロン株式会社:脆弱性情報提供済み
オリンパス株式会社:脆弱性情報提供済み
セイコーエプソン株式会社:脆弱性情報提供済み
京セラ株式会社:該当製品無し
図研エルミック株式会社:該当製品無し
富士通株式会社:脆弱性情報提供済み
日本電気株式会社:該当製品無し(調査中)
日立:脆弱性情報提供済み
株式会社コンテック:脆弱性情報提供済み
楽天モバイル株式会社:該当製品無し

 JVNによると、複数のHTTP/2サーバ実装に対し、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性(CVE-2025-8671)が報告されており、一部のベンダーでは自身の製品への本脆弱性の影響を示すためにCVE-2025-8671とは異なる固有のCVE IDを割り当てている。

 「MadeYouReset」は、ストリームのリセット処理に関するHTTP/2の仕様上の動作と実際のサーバ内の処理との間の不一致を悪用することで、リソース枯渇状態を引き起こし、想定される影響としてはDDoS攻撃に悪用される可能性がある。

 JVNでは、HTTP/2を使用している開発者に対し、JVNが参考情報として示す各種資料などを参考に、本件への対応を検討するよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

    アスクル Web サイトがランサムウェア感染、受注出荷業務が停止

  5. 大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

    大量に営業機密等を不正取得 ~ 不正競争防止法違反容疑でエレコム元従業員を刑事告訴

ランキングをもっと見る
PageTop