JVNDB-2022-002639
|
Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題
|
Apache Tomcat には、無効な HTTP ヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。
Apache Tomcat にて rejectIllegalHeader を false (8.5 系だけは初期設定) とし、無効な HTTP ヘッダを無視する設定としている場合、Tomcat は無効な Content-Length ヘッダを含むリクエストであっても拒否しないという問題 (CVE-2022-42252) があります。
|
CVSS v3 による深刻度 基本値: 7.5 (重要) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 高
- 可用性への影響(A): なし
|
|
Apache Software Foundation
- Apache Tomcat 10.1.0-M1 から 10.1.0 までのバージョン
- Apache Tomcat 10.0.0-M1 から 10.0.26 までのバージョン
- Apache Tomcat 9.0.0-M1 から 9.0.67 までのバージョン
- Apache Tomcat 8.5.0 から 8.5.82 までのバージョン
|
|
Tomcat は不正なヘッダを含むリクエストを拒否しないため、Tomcat をリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。
|
[アップデートする]
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。
* Apache Tomcat 10.1.1 およびそれ以降
* Apache Tomcat 10.0.27 およびそれ以降
* Apache Tomcat 9.0.68 およびそれ以降
* Apache Tomcat 8.5.83 およびそれ以降
[設定を変更する]
rejectIllegalHeader を true に設定する。
|
Apache Software Foundation
|
|
- CVE-2022-42252
|
- JVN : JVNVU#93003913
- National Vulnerability Database (NVD) : CVE-2022-42252
|
- [2022年11月04日]
掲載
- [2022年11月07日]
影響を受けるシステム:内容を更新
|