Published: 2025-08-29 08:00
複数の HTTP/2 サーバ実装にストリームリセット処理の不備
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は8月26日、複数のHTTP/2サーバ実装におけるストリームリセット処理の不備について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムについて、2025年8月26日時点での各ベンダのステータスは下記の通り。
NTT-CERT:該当製品無し(調査中)
オムロン株式会社:脆弱性情報提供済み
オリンパス株式会社:脆弱性情報提供済み
セイコーエプソン株式会社:脆弱性情報提供済み
京セラ株式会社:該当製品無し
図研エルミック株式会社:該当製品無し
富士通株式会社:脆弱性情報提供済み
日本電気株式会社:該当製品無し(調査中)
日立:脆弱性情報提供済み
株式会社コンテック:脆弱性情報提供済み
楽天モバイル株式会社:該当製品無し
JVNによると、複数のHTTP/2サーバ実装に対し、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性(CVE-2025-8671)が報告されており、一部のベンダーでは自身の製品への本脆弱性の影響を示すためにCVE-2025-8671とは異なる固有のCVE IDを割り当てている。
「MadeYouReset」は、ストリームのリセット処理に関するHTTP/2の仕様上の動作と実際のサーバ内の処理との間の不一致を悪用することで、リソース枯渇状態を引き起こし、想定される影響としてはDDoS攻撃に悪用される可能性がある。
JVNでは、HTTP/2を使用している開発者に対し、JVNが参考情報として示す各種資料などを参考に、本件への対応を検討するよう呼びかけている。
| # | 言葉 | 意味 |
|---|---|---|
| 9 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 8 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 6 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 6 | 情報提供 | じょうほうていきょう (情報提供) : provision of information |
| 6 | 済み | ずみ (済み) : arranged; taken care of; settled; completed; finished |
| 5 | 該当 | がいとう (該当) : corresponding to; being applicable to; being relevant to; coming under; falling under; fulfilling (requirements); meeting (conditions); qualifying for |
| 5 | 無し | なし (無し) : 1. without 2. unacceptable; not alright; unsatisfactory |
| 4 | 処理 | しょり (処理) : processing; dealing with; treatment; disposition; disposal |
| 3 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | 複数 | ふくすう (複数) : plural; multiple; several |
| 2 | 実装 | じっそう (実装) : implementation (e.g. of a feature); installation (of equipment); mounting; packaging |
| 2 | 不備 | ふび (不備) : 1. defect; deficiency; imperfection; inadequacy; lack 2. Yours in haste |
| 2 | 調査 | ちょうさ (調査) : investigation; examination; inquiry; enquiry; survey |
| 2 | 対する | たいする (対する) : 1. to face (each other); to be facing 2. to be directed toward (the future, etc.); to be in response to; to be related to |
| 2 | 関する | かんする (関する) : to concern; to be related |
| 2 | 示す | しめす (示す) : 1. to (take out and) show; to demonstrate; to tell; to exemplify; to make apparent 2. to point out (finger, clock hand, needle, etc.) |
| 2 | 悪用 | あくよう (悪用) : abuse; misuse; perversion |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | および | および (及び) : and; as well as |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 時点 | じてん (時点) : point in time; occasion |
| 1 | 各 | かく (各) : each; every; all |
| 1 | 下記 | かき (下記) : the following |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 京セラ | きょうセラ (京セラ) : Kyocera (company) |
| 1 | 富士通 | ふじつう (富士通) : Fujitsu (company) |
| 1 | 日本電気 | にっぽんでんき (日本電気) : NEC (Nippon Electric Company) (company) |
| 1 | 日立 | ひたち (日立) : Hitachi (place; surname; company) |
| 1 | 楽天 | らくてん (楽天) : optimism |
| 1 | 呼ぶ | よぶ (呼ぶ) : 1. to call out (to); to call; to invoke 2. to summon (a doctor, etc.) |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 一部 | いちぶ (一部) : 1. one part; one portion; one section; some 2. one copy (e.g. of a document) |
| 1 | 自身 | じしん (自身) : (one's) self; oneself |
| 1 | 異なる | ことなる (異なる) : to differ; to vary; to disagree |
| 1 | 固有 | こゆう (固有) : characteristic; traditional; peculiar; inherent; native; eigen- |
| 1 | 割り当てる | わりあてる (割り当てる) : to assign; to allot; to allocate; to divide among; to distribute; to prorate; to apportion |
| 1 | 仕様 | しよう (仕様) : 1. way; method; means; resource; remedy 2. (technical) specification |
| 1 | 動作 | どうさ (動作) : action; movements; motions; bearing; behaviour; behavior; execution; actuation; operation; manners |
| 1 | 実際 | じっさい (実際) : 1. reality; actuality; truth; fact; actual conditions 2. practice (as opposed to theory) |
| 1 | 内 | うち (内) : 1. inside; within 2. while (e.g. one is young); during; within (e.g. a day); in the course of |
| 1 | 不一致 | ふいっち (不一致) : discrepancy; discord; disagreement; mismatch; dissonance |
| 1 | 枯渇 | こかつ (枯渇) : 1. drying up; running dry 2. running out; being exhausted; being drained |
| 1 | 状態 | じょうたい (状態) : state; condition; situation; appearance; circumstances |
| 1 | 引き起こす | ひきおこす (引き起こす) : 1. to cause; to induce; to bring about; to provoke 2. to pull upright; to help up (e.g. a fallen person) |
| 1 | 想定 | そうてい (想定) : hypothesis; supposition; assumption |
| 1 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 使用 | しよう (使用) : use; application; employment; utilization; utilisation |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | 各種 | かくしゅ (各種) : every kind; all sorts |
| 1 | 資料 | しりょう (資料) : materials; data; document |
| 1 | 参考 | さんこう (参考) : reference; consultation |
| 1 | 本件 | ほんけん (本件) : this matter; this case |
| 1 | 対応 | たいおう (対応) : 1. correspondence (to); equivalence 2. suitability; coordination; matching; being appropriate (for) |
| 1 | 検討 | けんとう (検討) : consideration; examination; investigation; study; scrutiny; discussion; analysis; review |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |