JVNDB-2023-008161

Apache Tomcat におけるリクエストスマグリングの脆弱性

Apache Tomcat には、細工された HTTP トレーラーヘッダを受信した場合に正しく解析できないことに起因する、リクエストスマグリングの脆弱性（CVE-2023-46589）が存在します。

Apache Software Foundation

• Apache Tomcat 11.0.0-M1 から 11.0.0-M10 まで
• Apache Tomcat 10.1.0-M1 から 10.1.15 まで
• Apache Tomcat 9.0.0-M1 から 9.0.82 まで
• Apache Tomcat 8.5.0 から 8.5.95 まで

Tomcat をリバースプロキシの背後に配備している場合、1 つのリクエストを複数のリクエストとして処理してしまう可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
開発者によると、本脆弱性は次のバージョンで修正されているとのことです。

　* Apache Tomcat 11.0.0-M11
　* Apache Tomcat 10.1.16
　* Apache Tomcat 9.0.83
　* Apache Tomcat 8.5.96

Apache Software Foundation

• Apache Software Foundation : [SECURITY] CVE-2023-46589 Apache Tomcat - Request Smuggling
• Apache Software Foundation : Fixed in Apache Tomcat 11.0.0-M11
• Apache Software Foundation : Fixed in Apache Tomcat 10.1.16
• Apache Software Foundation : Fixed in Apache Tomcat 9.0.83
• Apache Software Foundation : Fixed in Apache Tomcat 8.5.96

日立

• Hitachi Software Vulnerability Information : hitachi-sec-2024-107
• Hitachi Software Vulnerability Information : hitachi-sec-2024-134
• Hitachi Software Vulnerability Information : hitachi-sec-2024-120
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-107
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-134
• ソフトウェア製品セキュリティ情報 : hitachi-sec-2024-120

1. HTTP リクエストスマグリング(CWE-444) [NVD評価]

1. CVE-2023-46589

1. JVN : JVNVU#96182160
2. JVN : JVNVU#99084687
3. National Vulnerability Database (NVD) : CVE-2023-46589
4. ICS-CERT ADVISORY : ICSA-24-228-06

• [2023年11月30日]
    掲載
• [2024年01月31日]
    ベンダ情報：日立 (hitachi-sec-2024-107) を追加
  
• [2024年04月26日]
    参考情報：National Vulnerability Database (NVD) (CVE-2023-5944) を追加
    CVSS による深刻度：内容を更新
    CWE による脆弱性タイプ一覧：内容を更新
  
• [2024年07月03日]
    ベンダ情報：日立 (hitachi-sec-2024-134) を追加
• [2024年08月08日]
    ベンダ情報：日立 (hitachi-sec-2024-120) を追加
• [2024年08月19日]
    参考情報：JVN (JVNVU#99084687) を追加
    参考情報：ICS-CERT ADVISORY (ICSA-24-228-06) を追加