CVE-2014-3742は、hapiのバージョン2.0.xおよび2.1.xに存在するサービス拒否(DoS)攻撃の脆弱性です。攻撃者はファイル記述子を繰り返し漏洩させることで、サーバーがファイル記述子を使い果たし、プロセスが異常終了する可能性があります。この脆弱性は、hapiバージョン2.0.xおよび2.1.xに影響を与え、バージョン2.2.0以降で修正されています。
この脆弱性を悪用されると、攻撃者はhapiサーバーに対してDoS攻撃を実行し、サービスを停止させることが可能です。攻撃者は、脆弱なエンドポイントに大量のリクエストを送信し、ファイル記述子を繰り返し漏洩させることで、サーバーのリソースを枯渇させます。これにより、正規のユーザーからのリクエストが処理できなくなり、サービスが利用不能になります。ファイル記述子の制限によっては、攻撃の成功に必要なリクエストの数が異なります。この脆弱性は、サーバーの可用性に直接的な影響を与え、ビジネスの中断やデータ損失につながる可能性があります。
この脆弱性は、公開されており、悪用される可能性があります。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、DoS攻撃は比較的容易に実行できるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。
エクスプロイト状況
EPSS
0.73% (73% パーセンタイル)
この脆弱性への最良の対策は、hapiをバージョン2.2.0以降にアップグレードすることです。アップグレードが困難な場合は、一時的な緩和策として、WAF(Web Application Firewall)を使用して、異常なリクエストパターンを検出し、ブロックすることができます。また、ファイル記述子の制限を増やすことで、DoS攻撃の影響を軽減できる可能性があります。ファイル記述子の使用状況を監視し、異常な増加があれば、直ちに調査する必要があります。アップグレード後、サーバーの正常性を確認し、DoS攻撃が発生しないことを確認してください。
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2014-3742は、hapiのバージョン2.0.xおよび2.1.xにおいて、ファイル記述子漏洩によるサービス拒否(DoS)攻撃の脆弱性です。攻撃者はこの脆弱性を悪用して、サーバーをダウンさせることが可能です。
はい、hapiのバージョン2.0.xおよび2.1.xを使用している場合は、この脆弱性によってDoS攻撃を受けるリスクがあります。
hapiをバージョン2.2.0以降にアップグレードしてください。アップグレードが難しい場合は、WAFなどの緩和策を検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、DoS攻撃は比較的容易に実行できるため、注意が必要です。
hapiの公式アドバイザリは、[https://hapi.sh/guides/security](https://hapi.sh/guides/security)で確認できます。