第4章 MTA 6.2.1

CVE-2023-44487 HTTP/2: 複数の HTTP/2 対応 Web サーバーが DDoS 攻撃 (Rapid Reset Attack) に対して脆弱である

HTTP/2 プロトコルでの多重化ストリームの処理に欠陥が見つかりました。以前の MTA リリースでは、リクエストのキャンセルにより複数のストリームがすぐにリセットされる可能性があるため、HTTP/2 プロトコルによりサービス妨害 (サーバーリソースの消費) が許可されていました。サーバーは、接続ごとのアクティブなストリームの最大数に関するサーバー側の制限に達しないようにしながら、ストリームのセットアップと破棄を行う必要があり、その結果、サーバーのリソース消費によるサービス妨害が発生していました。

CVE-2023-39325: 複数の HTTP/2 対応 Web サーバーが DDoS 攻撃 (Go 言語パッケージの Rapid Reset Attack) に対して脆弱です。

HTTP/2 プロトコルは、リクエストのキャンセルによって複数のストリームがすぐにリセットされる可能性があるため、サービス拒否攻撃の影響を受けやすくなっています。サーバーは、接続ごとのアクティブなストリームの最大数に関するサーバー側の制限に達しないようにしながら、ストリームをセットアップおよび破棄する必要があります。これにより、サーバーのリソースが消費され、サービス拒否が発生します。