CVE-2016-6580は、PythonのpriorityライブラリにおけるHTTP/2実装の脆弱性です。悪意のあるピアからの不正な優先度情報により、メモリが大量に消費され、システムリソースが枯渇する可能性があります。この脆弱性は、priorityライブラリのバージョン1.2.0以前に影響を与え、バージョン1.2.0で修正されました。
この脆弱性を悪用されると、攻撃者はHTTP/2プロトコルを利用して、優先度情報を不正に割り当てることができます。これにより、優先度ライブラリはすべてのHTTP/2ストリームIDに対して優先度情報を保存し続け、結果としてメモリ使用量が無限に増加します。このメモリリークは、DoS攻撃につながる可能性があり、システムを不安定化させ、サービス停止を引き起こす可能性があります。また、CPU使用率の急増により、他のプロセスがリソースを奪われ、パフォーマンスが低下する可能性があります。攻撃者は、この脆弱性を利用して、システムリソースを枯渇させ、サービスを妨害することが可能です。
CVE-2016-6580は、2017年1月10日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、HTTP/2プロトコルの実装における脆弱性は、潜在的なリスクとして認識されています。KEVへの登録状況は不明です。公開されているPoCは確認されていません。
エクスプロイト状況
EPSS
0.48% (65% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、priorityライブラリをバージョン1.2.0以降にアップグレードすることを推奨します。アップグレードが困難な場合は、HTTP/2の優先度制御に関する設定を見直し、不正な優先度情報が送信されないように対策を講じる必要があります。また、WAFやプロキシサーバーを使用して、不正なHTTP/2リクエストをフィルタリングすることも有効です。システム監視ツールを導入し、異常なメモリ使用量やCPU使用率を検知できるようにすることも重要です。アップグレード後、システムを再起動し、優先度ライブラリのバージョンが1.2.0以降であることを確認してください。
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2016-6580は、PythonのpriorityライブラリのHTTP/2実装における脆弱性で、悪意のあるHTTP/2ピアからの不正な優先度情報により、メモリを無限に消費する可能性があります。
priorityライブラリのバージョンが1.2.0以前を使用している場合、CVE-2016-6580の影響を受けます。バージョン1.2.0以降にアップグレードすることで、この脆弱性を解消できます。
priorityライブラリをバージョン1.2.0以降にアップグレードしてください。pipコマンドを使用して、pip install --upgrade priorityを実行することで、最新バージョンに更新できます。
現時点では、CVE-2016-6580を悪用した具体的な攻撃事例は報告されていませんが、潜在的なリスクとして認識されています。
Pythonの公式アドバイザリは、Pythonのセキュリティに関する情報が公開されているウェブサイトで確認できます。https://www.python.org/security/
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。