JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月2日、「JVNVU#93003913: Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題」において、Apache Tomcatに重要度の高い脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムに対してリクエストスマグリング攻撃が行われる危険性があるという。

JVNVU#93003913: Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題

脆弱性が存在するとされるApache Tomcatのバージョンは次のとおり。

Apache Tomcat 10.1.0-M1から10.1.0までのバージョン

Apache Tomcat 10.0.0-M1から10.0.26までのバージョン

Apache Tomcat 9.0.0-M1から9.0.67までのバージョン

Apache Tomcat 8.5.0から8.5.52までのバージョン

この脆弱性は、無効なHTTPヘッダの取り扱い方法に起因するという。Apache TomcatにてrejectIllegalHeaderをfalse(8.5系だけは初期設定)と設定されており、無効なHTTPヘッダを無視するように設定されている場合、不正なヘッダを含むリクエストを拒否しないため、Tomcatをリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われるリスクがあるとされている。

該当する脆弱性はCVE-2022-42252として特定されており、深刻度がCVSSv3スコア値7.5で重要(High)と位置づけられている。

脆弱性が修正されたバージョンは次のとおり。

Apache Tomcat 10.1.1およびそれ以降

Apache Tomcat 10.0.27およびそれ以降

Apache Tomcat 9.0.68およびそれ以降

Apache Tomcat 8.5.83およびそれ以降