H2O、H2OにHTTPヘッダインジェクションの脆弱性を確認

  • 元記事:Vulnerabilities
  • 元記事:H2O における HTTP ヘッダインジェクションの脆弱性
  • HP:H2O
  • 発表日時 2016/1/13

    H2OにHTTPヘッダインジェクションの脆弱性が確認された。影響を受けるのはH2O version 1.6.1とそれ以前、H2O version 1.7.0-beta2とそれ以前で、サーバにredirect ハンドラを使用するよう設定していると、HTTP レスポンス分割攻撃によりCookie に任意の値が設定される恐れがある。解決策としてH2O version 1.6.2及び1.7.0-beta3が公開されており、アップデートによりこの脆弱性は解消される。