Varnish Cache 9 9.0.1 より前のバージョンと Varnish Enterprise 6.0.16r11 より前のバージョンでは、特定の量の prefetched データに対して "workspace overflow" によるサービス拒否 (daemon panic) が可能。HTTP/2 セッションの設定

Varnish Cache の CVE-2026-40394 は、サービス拒否 (DoS) 攻撃を可能にし、デーモンパニックを引き起こす可能性があります。これは、大量の事前フェッチされたデータを取り扱う際に、ワークスペースのオーバーフローが発生するためです。具体的には、HTTP/1 セッションを HTTP/2 にアップグレードする際、HTTP/1 リクエストがストリームゼロとして再利用され、バッファ割り当てが行われます。事前フェッチされたデータの量が十分に大きい場合、この割り当てはワークスペースの制限を超え、デーモンパニックとサービスの中断を引き起こす可能性があります。この脆弱性の重大性は、Varnish サービスの可用性を中断し、キャッシュとアクセラレーションに依存する Web アプリケーションに影響を与える可能性にあります。

1. 予約済み2026-04-12
2. 公開日2026-04-12
3. 更新日2026-04-13
4. EPSS 更新日2026-04-20

CVE-2026-40394 の主な軽減策は、修正を含む Varnish Cache のバージョンにアップグレードすることです。影響を受けるバージョンは、Varnish Cache 9.0 以前と、Varnish Enterprise 6.0.16r11 以前です。修正されたバージョンは、Varnish Cache 9.0.1 と Varnish Enterprise 6.0.16r11 以降です。潜在的なサービス拒否攻撃を回避するために、できるだけ早くこのアップデートを適用することをお勧めします。さらに、Varnish サーバーのリソース使用量を監視して、搾取の試みを意味する可能性のある異常な動作を検出します。直ちにアップデートできない場合は、一時的な対策として、事前フェッチされたデータの量を制限することを検討してください。ただし、これによりキャッシュのパフォーマンスに影響を与える可能性があります。