iskra

JavaScript開発で利用するnpmパッケージの脆弱性を数秒で検出し、安全な代替パッケージまで提案するOSSツール「CVE Lite CLI」が注目を集めている。AI時代の開発現場で増大する依存関係リスクと、CIスキャンの待ち時間による負担軽減を目的としている。 CVE Lite CLIはSonu Kapoor氏が開発したオープンソースの依存関係スキャナーで、現在はOWASPのIncubator Projectとして運営されている。npm、pnpm、Yarnに対応し、lockfileを解析してOSVデータベースを基に既知の脆弱性を検出する。 特徴は単なる脆弱性の列挙ではなく、影響を受けるパッケージの安全な代替候補と置き換えコマンドを提示する点にある。推奨される代替パッケージについても再スキャンを行い、修正後に別の脆弱性が残らないか確認できる。 Kapoor氏は、従来のCIベースのスキャンでは結果が出るまで数十分から数時間かかり、開発者が文脈を失った状態で対応を迫られることが問題だと指摘する。CVE Lite CLIはローカル環境で即座に実行できるため、開発中に依存関係のリスクを把握し、その場で修正できるとしている。 https://t.co/HZmwskjF0p

HTTP/2を利用する主要Webサーバーに、わずかな通信で数十GBのメモリを消費させる新たなDoS攻撃「HTTP/2 Bomb」が公開された。PoCコードも既に公開されており、ApacheやEnvoyなどでは1台のクライアントからサーバー全体を停止状態へ追い込める可能性がある。 この攻撃は、HTTP/2のヘッダー圧縮機構であるHPACKとSlowloris型攻撃を組み合わせたものだ。通常の圧縮爆弾とは異なり、大量データを送るのではなく、極めて小さなヘッダーからサーバー側で大量のメモリ確保を発生させる。さらにゼロバイトのフロー制御ウィンドウを悪用し、確保したメモリを長時間解放させない。 研究者によると、Apache httpdやEnvoyでは単一の攻撃クライアントが約20秒で32GBのメモリを消費させることが可能という。サーバーはクラッシュせずスワップ状態へ陥るため、正規ユーザーのアクセスが極端に遅くなる。 影響は広範囲に及び、nginxは既に対策を実装済みで、ApacheもCVE-2026-49975として修正を公開した。一方でMicrosoft IISやEnvoy、Cloudflare Pingoraなどは記事時点で修正が提供されていないとされる。 対策として研究者は、可能であればHTTP/1.1への切り替えやヘッダー数の制限、コンテナ単位でのメモリ制限設定を推奨している。 https://t.co/FB6DxWNsWt