独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は8月14日、HTTP/2実装に対する、さまざまなサービス運用妨害(DoS)攻撃手法が報告されていると「Japan Vulnerability Notes(JVN)」で発表した。HTTP/2通信の処理は、HTTP/1.1通信の処理と比較して多くのリソースが必要であり、RFC7540のSecurity ConsiderationsセクションにおいてもDoS状態に関する検討が行われている。しかし、その対策については実装者に任されており、これが次の問題につながっている。・Data Dribble(CVE-2019-9511)・Ping Flood(CVE-2019-9512)・Resource Loop(CVE-2019-9513)・Reset Flood(CVE-2019-9514)・Settings Flood(CVE-2019-9515)・0-Length Headers Leak(CVE-2019-9516)・Internal Data Buffering(CVE-2019-9517)・Empty Frame Flooding(CVE-2019-9518)これらの攻撃手法により、Distributed DoS(DDoS)攻撃が行われる可能性がある。JVNでは、各 HTTP/2 実装者が提供するアップデートを適用するよう呼びかけている。
Microsoft Windows において AppXSvc での設定ファイルの取り扱い不備により任意のファイルのフルアクセス権限が取得可能となる脆弱性(Scan Tech Report)2019.8.7 Wed 8:30
中国セキュリティ企業、日本へのサイバー攻撃事例投稿ほか ~ 2019 年 7 月のふりかえり [Scan PREMIUM Monthly Executive Summary]2019.8.5 Mon 10:00
![中国セキュリティ企業、日本へのサイバー攻撃事例投稿ほか ~ 2019 年 7 月のふりかえり [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/28086.png)
