NVD脆弱性詳細

CVE-2024-27316

概要	HTTP/2 incoming headers exceeding the limit are temporarily buffered in nghttp2 in order to generate an informative HTTP 413 response. If a client does not stop sending headers, this leads to memory exhaustion.
公表日	2024年4月5日5:15
登録日	2024年4月5日10:00
最終更新日	2024年11月21日18:04

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:apache:http_server::::::::		2.4.17			2.4.59

構成3		以上	以下	より上	未満
cpe:2.3:a:netapp:ontap:9:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://seclists.org/fulldisclosure/2024/Jul/18
2	http://seclists.org/fulldisclosure/2024/Jul/18
3	http://www.openwall.com/lists/oss-security/2024/04/04/4	Mailing List
4	http://www.openwall.com/lists/oss-security/2024/04/04/4	Mailing List
5	https://httpd.apache.org/security/vulnerabilities_24.html	Product Release Notes
6	https://httpd.apache.org/security/vulnerabilities_24.html	Product Release Notes
7	https://support.apple.com/kb/HT214119
8	https://support.apple.com/kb/HT214119
9	https://www.openwall.com/lists/oss-security/2024/04/03/16
10	https://www.openwall.com/lists/oss-security/2024/04/03/16

共通脆弱性一覧

JVN脆弱性情報

Apache Software Foundation の Apache HTTP Server 等複数ベンダの製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性

タイトル	Apache Software Foundation の Apache HTTP Server 等複数ベンダの製品における制限またはスロットリング無しのリソースの割り当てに関する脆弱性
概要	Apache Software Foundation の Apache HTTP Server 等複数ベンダの製品には、制限またはスロットリング無しのリソースの割り当てに関する脆弱性が存在します。
想定される影響	メモリ使用量を増大させられる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2024年4月4日0:00
登録日	2024年6月11日17:50
最終更新日	2025年1月30日15:28

影響を受けるシステム

Apache Software Foundation

Apache HTTP Server 2.4.17 以上 2.4.59 未満

日立

Cosminexus HTTP Server

uCosminexus Application Server

uCosminexus Application Server-R

uCosminexus Developer

uCosminexus Primary Server Base

uCosminexus Service Architect

uCosminexus Service Platform

Fedora Project

Fedora 38

Fedora 39

Fedora 40

NetApp

ONTAP (旧 Clustered Data ONTAP) 9

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-27316	https://www.cve.org/CVERecord?id=CVE-2024-27316
National Vulnerability Database (NVD)
2	CVE-2024-27316	https://nvd.nist.gov/vuln/detail/CVE-2024-27316

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-770	https://cwe.mitre.org/data/definitions/770.html

ベンダー情報

No	名前	URL
Apache httpd 2.4 vulnerabilities
1	moderate: Apache HTTP Server: HTTP/2 DoS by memory exhaustion on endless continuation frames (CVE-2024-27316)	https://httpd.apache.org/security/vulnerabilities_24.html
Fedora Update Notification
2	FEDORA-2024-1f11550e31	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FO73U3SLBYFGIW2YKXOK7RI4D6DJSZ2B/
3	FEDORA-2024-4812897dd1	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QKKDVFWBKIHCC3WXNH3W75WWY4NW42OB/
4	FEDORA-2024-528301bac2	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MIUBKSCJGPJ6M2U63V6BKFDF725ODLG7/
Hitachi Software Vulnerability Information
5	hitachi-sec-2025-102	https://www.hitachi.com/products/it/software/security/info/vuls/hitachi-sec-2025-102/index.html
NetApp Advisory
6	NTAP-20240415-0013	https://security.netapp.com/advisory/ntap-20240415-0013/
ソフトウェア製品セキュリティ情報
7	hitachi-sec-2025-102	https://www.hitachi.co.jp/Prod/comp/soft1/security/info/vuls/hitachi-sec-2025-102/index.html

その他

No	名前	URL
ICS-CERT ADVISORY
1	ICSA-24-319-04	https://www.cisa.gov/news-events/ics-advisories/icsa-24-319-04
JVN
2	JVNVU#96191615	https://jvn.jp/vu/JVNVU96191615/index.html
関連文書
3	www.openwall.com (oss-security/2024/04/03/16)	http://www.openwall.com/lists/oss-security/2024/04/03/16
4	www.openwall.com (oss-security/2024/04/04/4)	http://www.openwall.com/lists/oss-security/2024/04/04/4

変更履歴

No	変更内容	変更日
1	[2024年06月11日] 掲載	2024年6月11日15:21
2	[2024年11月19日] 参考情報：JVN (JVNVU#96191615) を追加参考情報：ICS-CERT ADVISORY (ICSA-24-319-04 ) を追加	2024年11月19日11:14
4	[2025年01月30日] 影響を受けるシステム：ベンダ情報の追加に伴い内容を更新ベンダ情報：日立 (hitachi-sec-2025-102) を追加	2025年1月30日15:27