JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は8月16日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#93696206: Apple SwiftNIO HTTP/2 における脆弱性に対するアップデート」において、 Apple SwiftNIO HTTP/2の脆弱性について伝えた。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- macOS Sierra 10.12以降およびUbuntu 14.04以降で動作しているSwiftNIO HTTP/2 1.0.0から1.4.0までのバージョン
脆弱性を悪用されると、HTTP/2サーバが特定のトラフィックパターンを受け取った際に、際限なくメモリを消費し、最終的にリソースが枯渇するおそれがあるほか、プロセッサリソースを過大に消費することも考えらえるという。
脆弱性に関する情報は次のページにまとまっている。この脆弱性を修正したバージョンとして、AppleからSwiftNIO HTTP/2 1.5.0がリリースされている。
複数のHTTP/2の実装にサービス運用妨害の脆弱性が存在することはすでに指摘され公表されている。この問題はHTTP/2を実装しているさまざまなソフトウェアに影響があると見られる。
すでにApacheやnginxが修正版を公開したほか、今回のAppleからの発表もHTTP/2の脆弱性に関するもの。今後も同様な内容の発表が続くと考えられる。該当するプロダクトを使用している場合は早期にアップデートを実施することが望まれる。