公開日:2022/11/02 最終更新日:2022/11/04

JVNVU#93003913
Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題

概要

Apache Tomcatには、無効なHTTPヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。

影響を受けるシステム

  • Apache Tomcat 10.1.0-M1から10.1.0までのバージョン
  • Apache Tomcat 10.0.0-M1から10.0.26までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.67までのバージョン
  • Apache Tomcat 8.5.0から8.5.82までのバージョン

詳細情報

Apache TomcatにてrejectIllegalHeaderfalse(8.5系だけは初期設定)とし、無効なHTTPヘッダを無視する設定としている場合、Tomcatは無効なContent-Lengthヘッダを含むリクエストであっても拒否しないという問題(CVE-2022-42252)があります。

想定される影響

Tomcatは不正なヘッダを含むリクエストを拒否しないため、Tomcatをリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新バージョンにアップデートしてください。
開発者は、本脆弱性の対策版として次のバージョンをリリースしています。

  • Apache Tomcat 10.1.1およびそれ以降
  • Apache Tomcat 10.0.27およびそれ以降
  • Apache Tomcat 9.0.68およびそれ以降
  • Apache Tomcat 8.5.83およびそれ以降
設定を変更する
rejectIllegalHeadertrueに設定する。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2022/11/04
[影響を受けるシステム]の誤記を修正しました