Suricata http2: 無制限のリソース消費

SuricataのIDS、IPS、NSMエンジンにおけるCVE-2026-31935は、攻撃者が悪意のあるHTTP/2継続フレームでシステムを過負荷状態にすることで、メモリの枯渇を引き起こすことを可能にします。攻撃者がSuricataを通過するネットワークトラフィックを制御できる場合、この脆弱性を悪用してシステムを過負荷にし、サービス拒否（DoS）攻撃につながる可能性があります。Suricataは重要なセキュリティツールであるため、影響は大きく、その故障はインフラ全体のセキュリティを損なう可能性があります。CVSSの深刻度は7.5で、高いリスクを示しています。この脆弱性は、7.0.15および8.0.4の前のバージョンに影響します。

Organizations relying on Suricata for network intrusion detection and prevention are at risk, particularly those running vulnerable versions (≤ 8.0.0, < 8.0.4). Environments with high HTTP2 traffic volume are more susceptible to exploitation. Those using Suricata in virtualized environments or containerized deployments should pay close attention to resource limits and monitoring.

• linux / server:

journalctl -u suricata -f | grep -i 'memory allocation error'

• linux / server:

ps aux | grep suricata | awk '{print $4, $6}' | sort -n | tail -n 1

• generic web: Monitor Suricata logs for unusual HTTP2 traffic patterns or errors related to frame processing.

1. 2026-04-02Disclosure

   disclosure

1. 予約済み2026-03-10
2. 公開日2026-04-02
3. EPSS 更新日2026-04-10

CVE-2026-31935の解決策は、Suricataをバージョン7.0.15以降、またはバージョン8.0.4以降にアップグレードすることです。これらのバージョンには、メモリの枯渇の問題を軽減する修正が含まれています。潜在的な攻撃からシステムを保護するために、できるだけ早くこのアップデートを適用することをお勧めします。さらに、Suricataプロセスのメモリ使用量を監視することで、進行中の潜在的な攻撃を検出するのに役立ちます。疑わしいHTTP/2トラフィックを制限するためのファイアウォールルールを実装することも、追加の予防策となります。アップデートが最も効果的で推奨される解決策です。