Apache HTTP Web ServerのHTTP/2プロトコル処理用モジュールにDoS脆弱性

　独立行政法人情報処理推進機構（IPA）セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は6日、Apache HTTP Web Serverのモジュール「mod_http2」に、サービス運用妨害（DoS）の脆弱性が含まれることを発表した。

　mod_http2は、HTTP/2プロトコルを処理する実験的（experimental）モジュールとして、Apache HTTP Web Server 2.4.17で提供されているが、Apache Software Foundationが提供する配布物ではコンパイルされずにデフォルトでは無効となっている。

　Apache HTTP Web Serverのバージョン「2.4.17」から「2.4.23」では、HTTP/2プロトコルの処理において、リクエストヘッダを適切に制限しないことに起因するサービス運用妨害（DoS）の脆弱性「CVE-2016-8740」が含まれる。これにより、細工されたHTTP/2リクエストを処理した際に、サービス運用妨害（DoS）攻撃を受ける可能性がある。共通脆弱性評価システムCVSS v3のスコアは7.5。

　mod_http2は、Apache HTTP Web Serverを自社製品に取り込んで提供しているディストリビューターにより有効化されている可能性があり、バージョン「2.4.23」向けには最新パッチが提供される予定。また、Apacheのソースコードリポジトリでは、リビジョン「1772576」で修正が行われている。一時的な回避策として、設定ファイル内の「Protocols」行から「h2」および「h2c」を削除し、無効にすることで脆弱性の影響を軽減できる。