【活用ガイド】

JVNDB-2022-002639

Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題

概要

Apache Tomcat には、無効な HTTP ヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。

Apache Tomcat にて rejectIllegalHeader を false (8.5 系だけは初期設定) とし、無効な HTTP ヘッダを無視する設定としている場合、Tomcat は無効な Content-Length ヘッダを含むリクエストであっても拒否しないという問題 (CVE-2022-42252) があります。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): なし
  • 完全性への影響(I): 高
  • 可用性への影響(A): なし
影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 10.1.0-M1 から 10.1.0 までのバージョン
  • Apache Tomcat 10.0.0-M1 から 10.0.26 までのバージョン
  • Apache Tomcat 9.0.0-M1 から 9.0.67 までのバージョン
  • Apache Tomcat 8.5.0 から 8.5.82 までのバージョン

想定される影響

Tomcat は不正なヘッダを含むリクエストを拒否しないため、Tomcat をリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。

 * Apache Tomcat 10.1.1 およびそれ以降
 * Apache Tomcat 10.0.27 およびそれ以降
 * Apache Tomcat 9.0.68 およびそれ以降
 * Apache Tomcat 8.5.83 およびそれ以降

[設定を変更する]
rejectIllegalHeader を true に設定する。

ベンダ情報

Apache Software Foundation
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2022-42252
参考情報

  1. JVN : JVNVU#93003913
  2. National Vulnerability Database (NVD) : CVE-2022-42252
更新履歴

  • [2022年11月04日]
      掲載
  • [2022年11月07日]
      影響を受けるシステム:内容を更新