Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

正規表現の処理に起因するサービス拒否脆弱性の自動修正技術

NTTと早稲田大学は、正規表現のパターンマッチングで処理時間を伸ばし、コンピュータリソースを浪費させてサービス拒否を引き起こす「正規表現DoS脆弱性」の自動修正技術を開発した。

正規表現については、プログラムの多くで利用される一方、しくみを理解し、検証すべき文字列を厳密に定義できていないとリソースを消費してサービス拒否に陥るおそれがあることから、対策技術を開発した。

「ReDoS(Regular Expression Denial of Service)脆弱性」「ReDoS脆弱性がないことを保証する条件」「ReDoS脆弱性の修正問題」を論理モデルとして定義し、ReDoS脆弱性がないことを保証した正規表現を出力するアルゴリズムを考案した。

NTTが脆弱性や修正問題の定義、修正アルゴリズムを考案。早稲田大学理工学術院教授の寺内多智弘氏が理論的な正確さについて検証した。

今回の研究成果は、国際会議「IEEE S&P 2022」に採択され、発表を予定している。

(Security NEXT - 2022/03/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「BIND」の「DNS over HTTPS」に脆弱性 - DoS攻撃のおそれ
楽天モバイルのフェムトセルに複数の脆弱性
米政府、VMwareのID管理製品脆弱性で緊急指令 - 侵害確認とパッチ適用求める
VMware製IDアクセス管理製品に重要度「クリティカル」の脆弱性 - 認証回避のおそれ
Apple、「macOS」のアップデートを公開 - 多数脆弱性を解消
「サイボウズGaroon」に複数の脆弱性 - アップデートで修正
クラウド利用機器にサイバー攻撃、脆弱性公表から3日後に - 富士通
Apple、「iOS 15.5」「iPadOS 15.5」をリリース - 脆弱性34件を修正
「Apache Tomcat」に脆弱性 - 2月までの更新で修正済み
SonicWallのVPN製品に複数の脆弱性 - アップデートが公開