複数の HTTP/2 サーバ実装にストリームリセット処理の不備 | ScanNetSecurity
2026.07.15(水)

複数の HTTP/2 サーバ実装にストリームリセット処理の不備

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月26日、複数のHTTP/2サーバ実装におけるストリームリセット処理の不備について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月26日、複数のHTTP/2サーバ実装におけるストリームリセット処理の不備について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムについて、2025年8月26日時点での各ベンダのステータスは下記の通り。

NTT-CERT:該当製品無し(調査中)
オムロン株式会社:脆弱性情報提供済み
オリンパス株式会社:脆弱性情報提供済み
セイコーエプソン株式会社:脆弱性情報提供済み
京セラ株式会社:該当製品無し
図研エルミック株式会社:該当製品無し
富士通株式会社:脆弱性情報提供済み
日本電気株式会社:該当製品無し(調査中)
日立:脆弱性情報提供済み
株式会社コンテック:脆弱性情報提供済み
楽天モバイル株式会社:該当製品無し

 JVNによると、複数のHTTP/2サーバ実装に対し、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性(CVE-2025-8671)が報告されており、一部のベンダーでは自身の製品への本脆弱性の影響を示すためにCVE-2025-8671とは異なる固有のCVE IDを割り当てている。

 「MadeYouReset」は、ストリームのリセット処理に関するHTTP/2の仕様上の動作と実際のサーバ内の処理との間の不一致を悪用することで、リソース枯渇状態を引き起こし、想定される影響としてはDDoS攻撃に悪用される可能性がある。

 JVNでは、HTTP/2を使用している開発者に対し、JVNが参考情報として示す各種資料などを参考に、本件への対応を検討するよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

    高速バスに乗ったら運転士から私的なショートメール ~ 予約データを運行管理者から不正取得

  2. KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

    KDDI の ISP 事業者向けメールシステムへの不正アクセス、JCOM の顧客 2,593,076 名分のメールアドレスが漏えい

  3. アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

    アフラック不正アクセスで日本理学療法士協会が会員情報の有無を確認

  4. Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

    Amazon S3 設定不備 ~ 電子チェックインシステム「Tabiq」で 1,060,338 人分の本人確認書類画像がアクセス可能に

  5. アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

    アフラック生命保険、不正アクセスのFAQ公開 CPU高負荷から発覚 原因調査中

ランキングをもっと見る
PageTop