MEDIUMCVE-2021-22553CVSS 6.5

GerritにおけるHeapメモリの枯渇

プラットフォーム

java

コンポーネント

gerrit

修正版

2.15.22

2.16.26

3.0.16

3.1.12

3.2.7

3.3.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2021-22553は、Gerritにおけるヒープメモリの枯渇を引き起こす脆弱性です。Git操作がJettyを経由する際に、セッションが作成されますが、有効期限が設定されておらず、自動的に破棄されないため、複数のGit操作を繰り返すことでサーバーのリソースを消費し、最終的にサービス停止につながる可能性があります。この脆弱性はGerrit 3.3.2以前のバージョンに影響を与え、バージョン3.3.2へのアップグレードによって修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はGerritサーバー上で大量のGit操作を実行することで、意図的にヒープメモリを枯渇させることができます。これにより、Gerritサーバーが応答しなくなり、開発者によるコードレビューやバージョン管理作業が中断される可能性があります。攻撃者は、内部ネットワークにアクセスできる場合、他のシステムへの攻撃の足がかりとしてGerritサーバーを利用する可能性も考えられます。この脆弱性は、特に大規模な開発チームや、継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインでGerritを使用している組織にとって深刻な脅威となります。

悪用の状況

この脆弱性は、CISA KEVカタログには登録されていません。公的なPoCは確認されていませんが、メモリ枯渇攻撃は一般的な攻撃手法であり、悪用される可能性は否定できません。NVD（National Vulnerability Database）は2021年2月17日にこの脆弱性を公開しています。

リスク対象者翻訳中…

Organizations heavily reliant on Gerrit for code review, particularly those with large development teams or frequent Git activity, are at increased risk. Environments with limited server resources or inadequate monitoring practices are also more vulnerable. Teams using older Gerrit versions without robust session management configurations are particularly exposed.

検出手順翻訳中…

• java / server:

ps -ef | grep gerrit | grep -v grep | awk '{print $2}' | xargs -I {} jstat -gc {} 2>&1 | grep -i 'HeapUsage'

• java / server: Monitor Gerrit's memory usage using tools like JConsole or VisualVM. Look for steadily increasing heap usage without corresponding decreases. • java / server: Check Gerrit's Jetty configuration for session timeout settings. Ensure that session timeouts are properly configured to prevent unbounded session creation. • java / server: Review Gerrit logs for errors related to memory allocation or Jetty session management.

攻撃タイムライン

2021-02-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.09% (26% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgerrit

ベンダーGoogle LLC

影響範囲修正版

2.15.0 – 2.15.212.15.22

2.16.0 – 2.16.252.16.26

3.0.0 – 3.0.153.0.16

3.1.0 – 3.1.113.1.12

3.2.0 – 3.2.63.2.7

3.3.0 – 3.3.13.3.2

弱点分類 (CWE)

CWE-400

タイムライン

予約済み2021-01-05
公開日2021-02-17
更新日2024-09-16
EPSS 更新日2026-04-02

緩和策と回避策

最も効果的な対策は、Gerritをバージョン3.3.2以降にアップグレードすることです。アップグレードが困難な場合は、一時的な回避策として、Git操作の頻度を制限したり、Gerritサーバーのヒープメモリサイズを増やすことを検討してください。また、WAF（Web Application Firewall）を導入し、異常なGit操作を検知・遮断するルールを設定することも有効です。Gerritのログを監視し、異常なメモリ使用量の増加を検知することも重要です。アップグレード後、Gerritサーバーのメモリ使用量を監視し、正常に動作していることを確認してください。

修正方法

Gerritをバージョン2.15.22、2.16.26、3.0.16、3.1.12、3.2.7、または3.3.2にアップデートするか、それ以降のバージョンにアップデートしてください。これにより、期限切れのJettyセッションが原因で発生するHeapメモリの枯渇の問題が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2021-22553 — ヒープメモリの枯渇脆弱性はGerritで何が起こりますか？

CVE-2021-22553は、GerritのGit操作におけるセッション管理の不備により、サーバーのヒープメモリが枯渇する脆弱性です。

CVE-2021-22553でGerritを使用している場合、影響を受けますか？

はい、Gerritのバージョンが3.3.2以前の場合、この脆弱性の影響を受けます。

CVE-2021-22553でGerritを修正するにはどうすればよいですか？

Gerritをバージョン3.3.2以降にアップグレードしてください。

CVE-2021-22553は積極的に悪用されていますか？

公的なPoCは確認されていませんが、メモリ枯渇攻撃は一般的な攻撃手法であり、悪用される可能性は否定できません。

CVE-2021-22553のGerrit公式アドバイザリはどこで入手できますか？

Gerritの公式アドバイザリは、Gerritのウェブサイトで確認できます。