vs gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2022-002639

Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題

7.5
2022/11/04 13:44
CVE-2022-42252
JVNDB-2022-002639
Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題
概要
Apache Tomcat には、無効な HTTP ヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。 Apache Tomcat にて rejectIllegalHeader を false (8.5 系だけは初期設定) とし、無効な HTTP ヘッダを無視する設定としている場合、Tomcat は無効な Content-Length ヘッダを含むリクエストであっても拒否しないという問題 (CVE-2022-42252) があります。
想定される影響と対策
Tomcat は不正なヘッダを含むリクエストを拒否しないため、Tomcat をリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。
[アップデートする] 開発者が提供する情報をもとに、最新バージョンにアップデートしてください。 開発者は、本脆弱性の対策版として次のバージョンをリリースしています。  * Apache Tomcat 10.1.1 およびそれ以降  * Apache Tomcat 10.0.27 およびそれ以降  * Apache Tomcat 9.0.68 およびそれ以降  * Apache Tomcat 8.5.83 およびそれ以降 [設定を変更する] rejectIllegalHeader を true に設定する。
JVN情報 ※( )内はCVSS v2の値
深刻度 7.5
CVECVE-2022-42252
公表日2022/11/02 00:00
登録日2022/11/04 13:44
更新日2022/11/04 13:44
CVSS v3情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
Update
JVNDB-2022-002639

Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題

7.5
2022/11/07 15:22
CVE-2022-42252
JVNDB-2022-002639
Apache Tomcat における無効な HTTP ヘッダの取り扱いに関する問題
概要
Apache Tomcat には、無効な HTTP ヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。 Apache Tomcat にて rejectIllegalHeader を false (8.5 系だけは初期設定) とし、無効な HTTP ヘッダを無視する設定としている場合、Tomcat は無効な Content-Length ヘッダを含むリクエストであっても拒否しないという問題 (CVE-2022-42252) があります。
想定される影響と対策
Tomcat は不正なヘッダを含むリクエストを拒否しないため、Tomcat をリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われる可能性があります。
[アップデートする] 開発者が提供する情報をもとに、最新バージョンにアップデートしてください。 開発者は、本脆弱性の対策版として次のバージョンをリリースしています。  * Apache Tomcat 10.1.1 およびそれ以降  * Apache Tomcat 10.0.27 およびそれ以降  * Apache Tomcat 9.0.68 およびそれ以降  * Apache Tomcat 8.5.83 およびそれ以降 [設定を変更する] rejectIllegalHeader を true に設定する。
JVN情報 ※( )内はCVSS v2の値
深刻度 7.5
CVECVE-2022-42252
公表日2022/11/02 00:00
登録日2022/11/04 13:44
更新日2022/11/07 15:22
CVSS v3情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。