【活用ガイド】

JVNDB-2023-008161

Apache Tomcat におけるリクエストスマグリングの脆弱性

概要

Apache Tomcat には、細工された HTTP トレーラーヘッダを受信した場合に正しく解析できないことに起因する、リクエストスマグリングの脆弱性(CVE-2023-46589)が存在します。
CVSS による深刻度 (CVSS とは?)

影響を受けるシステム


Apache Software Foundation
  • Apache Tomcat 11.0.0-M1 から 11.0.0-M10 まで
  • Apache Tomcat 10.1.0-M1 から 10.1.15 まで
  • Apache Tomcat 9.0.0-M1 から 9.0.82 まで
  • Apache Tomcat 8.5.0 から 8.5.95 まで

想定される影響

Tomcat をリバースプロキシの背後に配備している場合、1 つのリクエストを複数のリクエストとして処理してしまう可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。

 * Apache Tomcat 11.0.0-M11
 * Apache Tomcat 10.1.16
 * Apache Tomcat 9.0.83
 * Apache Tomcat 8.5.96
ベンダ情報

Apache Software Foundation 日立
CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2023-46589
参考情報

  1. JVN : JVNVU#96182160
更新履歴

  • [2023年11月30日]
      掲載
  • [2024年01月31日]
      ベンダ情報:日立 (hitachi-sec-2024-107) を追加