Apache Tomcatに「重要」の脆弱性 急ぎアップデートを

Apache Tomcatにリクエストスマグリング攻撃を受ける可能性のある脆弱性が見つかった。該当ソフトウェアを使用している場合、問題修正済みのバージョンにアップデートすることが推奨されている。

[後藤大地，有限会社オングス]

　JPCERTコーディネーションセンター（JPCERT/CC）は2022年11月2日、OSS（オープンソースソフトウェア）のJavaアプリケーションサーバ「Apache Tomcat」の複数のバージョンにCVE-2022-42252として特定されている脆弱（ぜいじゃく）性が存在すると伝えた。

　CVE-2022-42252を利用すると、細工された不正なリクエストを送信してサイバー攻撃を実行できる可能性があり注意が必要だ。該当のソフトウェアとバージョンを利用している場合、問題修正済みのバージョンに急ぎアップデートしてほしい。

Apache Software FoundationはCVE-2022-42252に対処した（出典：Apache Software FoundationのWebサイト）

脆弱性の詳細と該当のApache Tomcatのバージョンは？

　JPCERT/CCは、CVE-2022-42252について次のページで情報をまとめている。

　これによれば、CVE-2022-42252は、無効な「Content-Length」ヘッダを含むリクエストでも特定の設定をしている場合にリクエストが拒否されない、という挙動が原因となっている。Apache Tomcatをリバースプロキシの背後に配置してある場合、リクエストスマグリング攻撃を実行される危険性がある。共通脆弱性評価システムCVSSスコアは7.5で、深刻度は「重要」（High）に該当する。

　脆弱性が存在するバージョンは以下の通りだ。

• Apache Tomcat 10.1.0-M1〜10.1.0までのバージョン
• Apache Tomcat 10.0.0-M1〜10.0.26までのバージョン
• Apache Tomcat 9.0.0-M1〜9.0.67までのバージョン
• Apache Tomcat 8.5.0〜8.5.52までのバージョン

　Apache Software Foundationは脆弱性情報への対処を以下のページに掲載している。

• Apache TomcatR - Apache Tomcat 10 vulnerabilities - Fixed in Apache Tomcat 10.1.1
• Apache TomcatR - Apache Tomcat 10 vulnerabilities - Fixed in Apache Tomcat 10.0.27
• Apache TomcatR - Apache Tomcat 9 vulnerabilities - Fixed in Apache Tomcat 9.0.68
• Apache TomcatR - Apache Tomcat 8 vulnerabilities - Fixed in Apache Tomcat 8.5.83

　脆弱性が修正されたバージョンは以下の通りだ。

• Apache Tomcat 10.1.1
• Apache Tomcat 10.0.27
• Apache Tomcat 9.0.68
• Apache Tomcat 8.5.83

　該当ソフトウェアを使用している場合、迅速にアップデートを適用してほしい。