hashdos(ハッシュドス)とは

hashdos(ハッシュドス)とは、PHPやRuby、Pythonをはじめとする多くのWebアプリケーション開発プラットフォームにおいて、CPU資源を枯渇させるサービス運用妨害(DoS攻撃)が可能となる脆弱性のこと。または、この脆弱性を悪用した攻撃手法を指す。

この脆弱性は、これらの開発言語が実装しているハッシュテーブル機構に存在するもので、「CVE-2011-3414」(ハッシュテーブルの衝突がサービス拒否を引き起こす可能性のある脆弱性)として2011年12月28日に公表された。HTTPリクエストのパラメーターを格納するハッシュテーブルの処理に問題があり、HTTPリクエストにハッシュテーブル上で衝突する(ハッシュ値が一致する)パラメーターが多数含まれている場合、サービス拒否状態に陥る可能性がある。

この脆弱性が悪用されると、Webアプリケーションが機能停止させられるといった、DoS攻撃を受ける可能性がある。

影響を受ける開発言語は、上記以外にもPerl、Java(Apache Tomcat7.0.22以下、同6.0.34以下、同5.5.34以下)、ASP.NETなど広範囲にわたる。解決策は、セキュリティパッチが提供されている言語については当該パッチを速やかに適用することである。マイクロソフトは2011年12月30日に、Microsoft .NET Frameworkの脆弱性を修正する緊急パッチ(MS11-100)を公開し、適用を呼び掛けている。

ハッシュ関数を使用しているウェブアプリケーションにサービス運用妨害 (DoS) の脆弱性(JVNVU#903934)
2659883 : ASP.NET の脆弱性により、サービス拒否が起こる(マイクロソフト セキュリティ アドバイザリ)
MS11-100 緊急 : .NET Framework の脆弱性により、特権が昇格される (2638420)(マイクロソフト セキュリティ情報)
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策(徳丸浩の日記)
広範なWebアプリ開発言語にDoS攻撃につながる脆弱性(@IT)

セキュリティ用語辞典一覧ページへ

辻 伸弘のセキュリティ防衛隊

関連キーワード:
  • 米国でフィッシング撲滅を目的とした組織「DMARC.org」が設立
  • カテゴリートップへ
  • 2012年2月のIT総括