| タイトル | サービス拒否(DoS)を引き起こすApollo Routerの展開後ペイロードサイズ制限不備の脆弱性 |
|---|---|
| 概要 | Apollo Routerは、Apollo Federationを使用してフェデレーテッド・スーパーグラフを実行するためにRustで書かれたグラフルーターです。バージョン0.9.5から1.40.2までの間にサービス拒否(DoS)型の脆弱性が存在します。圧縮されたHTTPペイロードを受信した場合、該当するRouterのバージョンでは、圧縮されたペイロード全体を展開した後で「limits.http_max_request_bytes」構成オプションを評価します。そのため、高度に圧縮されたペイロードを受信すると、展開時に大量のメモリを消費する可能性があります。この脆弱性はバージョン1.40.2で修正されています。アップグレードが難しい場合は、Router群の前段にあるプロキシやロードバランサ(例:Nginx、HAProxy、クラウドネイティブWAFサービス)でHTTPボディのアップロードサイズを制限設定することで、対策を講じることができます。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2024年3月21日0:00 |
| 登録日 | 2026年1月6日14:45 |
| 最終更新日 | 2026年1月6日14:45 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| apollographql |
| apollo router 0.9.5 以上 1.40.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年01月06日] 掲載 |
2026年1月6日14:45 |
| 概要 | The Apollo Router is a graph router written in Rust to run a federated supergraph that uses Apollo Federation. Versions 0.9.5 until 1.40.2 are subject to a Denial-of-Service (DoS) type vulnerability. When receiving compressed HTTP payloads, affected versions of the Router evaluate the `limits.http_max_request_bytes` configuration option after the entirety of the compressed payload is decompressed. If affected versions of the Router receive highly compressed payloads, this could result in significant memory consumption while the compressed payload is expanded. Router version 1.40.2 has a fix for the vulnerability. Those who are unable to upgrade may be able to implement mitigations at proxies or load balancers positioned in front of their Router fleet (e.g. Nginx, HAProxy, or cloud-native WAF services) by creating limits on HTTP body upload size. |
|---|---|
| 公表日 | 2024年3月21日11:52 |
| 登録日 | 2024年3月21日16:00 |
| 最終更新日 | 2024年11月21日18:05 |