発行日: 2023 年 10 月 10 日 午前 5 時 PDT
AWS は「HTTP/2 Rapid Reset Attack」とも呼ばれる CVE-2023-44487 を認識しています。この CVE-2023-44487 は HTTP/2 対応ウェブサーバーに関連しており、高速なストリームの生成とキャンセルが追加の負荷を発生させ、サービス拒否を生じさせる可能性があります。 AWS インフラストラクチャは、レイヤー 7 のリクエストフラッドに対処するためにさまざまな保護機能を備えるよう設計されていますが、当社はこの問題に対処するために追加の緩和策を実装しました。また、AWS は、自社で HTTP/2 対応のウェブサーバーを運用しているお客様に対して、該当のウェブサーバーに影響があるかどうかをウェブサーバーのベンダーに確認し、影響がある場合は、この問題に対処するためにそれぞれのベンダーが提供する最新のパッチをインストールすることを推奨しています。
この詳細については、「How AWS Protects Customers from DDoS Events」というタイトルの AWS セキュリティブログの記事をご覧ください。
セキュリティ関連の質問または懸念事項については、aws-security@amazon.com までお問い合わせください。