NVD脆弱性詳細

CVE-2022-42252

概要	If Apache Tomcat 8.5.0 to 8.5.82, 9.0.0-M1 to 9.0.67, 10.0.0-M1 to 10.0.26 or 10.1.0-M1 to 10.1.0 was configured to ignore invalid HTTP headers via setting rejectIllegalHeader to false (the default for 8.5.x only), Tomcat did not reject a request containing an invalid Content-Length header making a request smuggling attack possible if Tomcat was located behind a reverse proxy that also failed to reject the request with the invalid header.
公表日	2022年11月1日18:15
登録日	2022年11月1日20:00
最終更新日	2024年11月21日16:24

影響を受けるソフトウェアの構成

関連情報、対策とツール

No	URL	タグ
1	https://lists.apache.org/thread/zzcxzvqfdqn515zfs3dxb7n8gty589sq	Mailing List Vendor Advisory
2	https://lists.apache.org/thread/zzcxzvqfdqn515zfs3dxb7n8gty589sq	Mailing List Vendor Advisory
3	https://security.gentoo.org/glsa/202305-37
4	https://security.gentoo.org/glsa/202305-37

共通脆弱性一覧

JVN脆弱性情報

Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題

タイトル	Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題
概要	Apache Tomcat には、無効な HTTP ヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。 Apache Tomcat にて rejectIllegalHeader を false （8.5 系だけは初期設定）とし、無効な HTTP ヘッダを無視する設定としている場合、Tomcat は無効な Content-Length ヘッダを含むリクエストであっても拒否しないという問題（CVE-2022-42252）があります。
想定される影響	Tomcat は不正なヘッダを含むリクエストを拒否しないため、Tomcat をリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新バージョンにアップデートしてください。開発者は、本脆弱性の対策版として次のバージョンをリリースしています。　* Apache Tomcat 10.1.1 およびそれ以降　* Apache Tomcat 10.0.27 およびそれ以降　* Apache Tomcat 9.0.68 およびそれ以降　* Apache Tomcat 8.5.83 およびそれ以降 [設定を変更する] rejectIllegalHeader を true に設定する。
公表日	2022年11月2日0:00
登録日	2022年11月4日13:44
最終更新日	2022年11月7日15:22

影響を受けるシステム

Apache Software Foundation

Apache Tomcat 10.0.0-M1 から 10.0.26 までのバージョン

Apache Tomcat 10.1.0-M1 から 10.1.0 までのバージョン

Apache Tomcat 8.5.0 から 8.5.82 までのバージョン

Apache Tomcat 9.0.0-M1 から 9.0.67 までのバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2022-42252	https://www.cve.org/CVERecord?id=CVE-2022-42252
National Vulnerability Database (NVD)
2	CVE-2022-42252	https://nvd.nist.gov/vuln/detail/CVE-2022-42252

ベンダー情報

No	名前	URL
The Apache Software Foundation
1	Fixed in Apache Tomcat 10.0.27	https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.0.27
2	Fixed in Apache Tomcat 10.1.1	https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.1
3	Fixed in Apache Tomcat 8.5.83	https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.83
4	Fixed in Apache Tomcat 9.0.68	https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.68

その他

No	名前	URL
JVN
1	JVNVU#93003913	https://jvn.jp/vu/JVNVU93003913/

変更履歴

No	変更内容	変更日
1	[2022年11月04日] 掲載	2022年11月4日12:35
2	[2022年11月07日] 影響を受けるシステム：内容を更新	2022年11月7日15:10