Apache Tomcatにリクエストスマグリング攻撃を受ける可能性のある脆弱性が見つかった。該当ソフトウェアを使用している場合、問題修正済みのバージョンにアップデートすることが推奨されている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
JPCERTコーディネーションセンター(JPCERT/CC)は2022年11月2日、OSS(オープンソースソフトウェア)のJavaアプリケーションサーバ「Apache Tomcat」の複数のバージョンにCVE-2022-42252として特定されている脆弱(ぜいじゃく)性が存在すると伝えた。
CVE-2022-42252を利用すると、細工された不正なリクエストを送信してサイバー攻撃を実行できる可能性があり注意が必要だ。該当のソフトウェアとバージョンを利用している場合、問題修正済みのバージョンに急ぎアップデートしてほしい。
JPCERT/CCは、CVE-2022-42252について次のページで情報をまとめている。
これによれば、CVE-2022-42252は、無効な「Content-Length」ヘッダを含むリクエストでも特定の設定をしている場合にリクエストが拒否されない、という挙動が原因となっている。Apache Tomcatをリバースプロキシの背後に配置してある場合、リクエストスマグリング攻撃を実行される危険性がある。共通脆弱性評価システムCVSSスコアは7.5で、深刻度は「重要」(High)に該当する。
脆弱性が存在するバージョンは以下の通りだ。
Apache Software Foundationは脆弱性情報への対処を以下のページに掲載している。
脆弱性が修正されたバージョンは以下の通りだ。
該当ソフトウェアを使用している場合、迅速にアップデートを適用してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.