HTTP/2とTLSの間でapacheがハマった脆弱性(CVE-2016-4979) - ぼちぼち日記

0. 短いまとめ 昨晩apache2.4でHTTP/2利用時にTLSクライアント認証をバイパスする脆弱性(CVE-2016-4979)が公表され、対策版がリリースされました。 実際に試すと Firefoxで認証バイパスができることが確認できました。 HTTP/2でTLSのクライアント認証を利用するには仕様上大きな制限があり、SPDY時代から長年の課題となっています。 この課題を解決するため、Secondary Certificate Authentication in HTTP/2という拡張仕様が現在IETFで議論中です。 1. はじめに ちょうど昨晩、apache2.4のhttpdサーバの脆弱性(CVE-2016-4979)が公開され、セキュリティリリースが行われました。 CVE-2016-4979: X509 Client certificate based authenticatio

[Rockridge]

「HTTP/2の仕様完了後、本格的なクライアント認証の機能が欲しいというユーザの声を受け、クライアント認証の拡張仕様の検討が始まり」「先日Secondary Certificate Authentication in HTTP/2 というドラフトが提出されました」。

[wata88]

多重化するからかぁ

[rryu]

クライアント証明書認証は接続単位の認証だから、複数のリクエストで1つの接続を共有するHTTP/2では色々面倒なんだな……

[n2s]

HTTP/2上でのTLSクライアント認証って問題があったのか…

[deep_one]

クライアント証明書だけなのかな？

[toshi0383]

あとでよむ。。

[Jxck]

HTTP2 + クライアント認証の扱いで発生した脆弱性。しかもリロードするだけで発生してたのか、これは怖い。

[tachi3927]

CVE-2016-4979の件。確かにリクエストが多重化するHTTP/2で、今の形のTLSクライアント認証は無理がある。先は長そうだ

[masayoshi]

色々検討事項があるなー

[niship_0822]

後半あとで