CVE-2022-42252
| Summary |
If Apache Tomcat 8.5.0 to 8.5.82, 9.0.0-M1 to 9.0.67, 10.0.0-M1 to 10.0.26 or 10.1.0-M1 to 10.1.0 was configured to ignore invalid HTTP headers via setting rejectIllegalHeader to false (the default for 8.5.x only), Tomcat did not reject a request containing an invalid Content-Length header making a request smuggling attack possible if Tomcat was located behind a reverse proxy that also failed to reject the request with the invalid header.
|
| Publication Date |
Nov. 1, 2022, 6:15 p.m. |
| Registration Date |
Nov. 1, 2022, 8 p.m. |
| Last Update |
Nov. 21, 2024, 4:24 p.m. |
|
CVSS3.1 : HIGH
|
| スコア |
7.5
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
なし |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
なし |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* |
10.1.0 |
|
|
10.1.1 |
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* |
10.0.0 |
|
|
10.0.27 |
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* |
9.0.0 |
|
|
9.0.68 |
| cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* |
8.5.0 |
|
|
8.5.83 |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題
| Title |
Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題
|
| Summary |
Apache Tomcat には、無効な HTTP ヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。 Apache Tomcat にて rejectIllegalHeader を false (8.5 系だけは初期設定) とし、無効な HTTP ヘッダを無視する設定としている場合、Tomcat は無効な Content-Length ヘッダを含むリクエストであっても拒否しないという問題 (CVE-2022-42252) があります。
|
| Possible impacts |
Tomcat は不正なヘッダを含むリクエストを拒否しないため、Tomcat をリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。 |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新バージョンにアップデートしてください。 開発者は、本脆弱性の対策版として次のバージョンをリリースしています。 * Apache Tomcat 10.1.1 およびそれ以降 * Apache Tomcat 10.0.27 およびそれ以降 * Apache Tomcat 9.0.68 およびそれ以降 * Apache Tomcat 8.5.83 およびそれ以降 [設定を変更する] rejectIllegalHeader を true に設定する。 |
| Publication Date |
Nov. 2, 2022, midnight |
| Registration Date |
Nov. 4, 2022, 1:44 p.m. |
| Last Update |
Nov. 7, 2022, 3:22 p.m. |
Affected System
| Apache Software Foundation |
|
Apache Tomcat 10.0.0-M1 から 10.0.26 までのバージョン
|
|
Apache Tomcat 10.1.0-M1 から 10.1.0 までのバージョン
|
|
Apache Tomcat 8.5.0 から 8.5.82 までのバージョン
|
|
Apache Tomcat 9.0.0-M1 から 9.0.67 までのバージョン
|
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2022年11月04日] 掲載 |
Nov. 4, 2022, 12:35 p.m. |
| 2 |
[2022年11月07日]
影響を受けるシステム:内容を更新 |
Nov. 7, 2022, 3:10 p.m. |