Apache Tomcatに「重要」の脆弱性 急ぎアップデートを
Apache Tomcatにリクエストスマグリング攻撃を受ける可能性のある脆弱性が見つかった。該当ソフトウェアを使用している場合、問題修正済みのバージョンにアップデートすることが推奨されている。
JPCERTコーディネーションセンター(JPCERT/CC)は2022年11月2日、OSS(オープンソースソフトウェア)のJavaアプリケーションサーバ「Apache Tomcat」の複数のバージョンにCVE-2022-42252として特定されている脆弱(ぜいじゃく)性が存在すると伝えた。
CVE-2022-42252を利用すると、細工された不正なリクエストを送信してサイバー攻撃を実行できる可能性があり注意が必要だ。該当のソフトウェアとバージョンを利用している場合、問題修正済みのバージョンに急ぎアップデートしてほしい。
脆弱性の詳細と該当のApache Tomcatのバージョンは?
JPCERT/CCは、CVE-2022-42252について次のページで情報をまとめている。
これによれば、CVE-2022-42252は、無効な「Content-Length」ヘッダを含むリクエストでも特定の設定をしている場合にリクエストが拒否されない、という挙動が原因となっている。Apache Tomcatをリバースプロキシの背後に配置してある場合、リクエストスマグリング攻撃を実行される危険性がある。共通脆弱性評価システムCVSSスコアは7.5で、深刻度は「重要」(High)に該当する。
脆弱性が存在するバージョンは以下の通りだ。
- Apache Tomcat 10.1.0-M1〜10.1.0までのバージョン
- Apache Tomcat 10.0.0-M1〜10.0.26までのバージョン
- Apache Tomcat 9.0.0-M1〜9.0.67までのバージョン
- Apache Tomcat 8.5.0〜8.5.52までのバージョン
Apache Software Foundationは脆弱性情報への対処を以下のページに掲載している。
- Apache TomcatR - Apache Tomcat 10 vulnerabilities - Fixed in Apache Tomcat 10.1.1
- Apache TomcatR - Apache Tomcat 10 vulnerabilities - Fixed in Apache Tomcat 10.0.27
- Apache TomcatR - Apache Tomcat 9 vulnerabilities - Fixed in Apache Tomcat 9.0.68
- Apache TomcatR - Apache Tomcat 8 vulnerabilities - Fixed in Apache Tomcat 8.5.83
脆弱性が修正されたバージョンは以下の通りだ。
- Apache Tomcat 10.1.1
- Apache Tomcat 10.0.27
- Apache Tomcat 9.0.68
- Apache Tomcat 8.5.83
該当ソフトウェアを使用している場合、迅速にアップデートを適用してほしい。
関連記事
- 大阪急性期・総合医療センターにランサムウェア攻撃 復旧のめど立たず
大阪急性期・総合医療センターがランサムウェアによるサイバー攻撃被害を発表した。この影響により電子カルテシステムで障害が発生しており、本稿執筆時点で復旧のめどは立っていない。 - OpenSSLが「緊急」の脆弱性に対処 2022年11月1日に新バージョンをリリース
OpenSSLプロジェクトは2022年11月1日にセキュリティアップデートバージョン「OpenSSL 3.0.7」を公開すると発表した。深刻度「緊急」(CRITICAL)の脆弱性に対処するとされており、リリース後には迅速なアップデートの適用が求められる。 - OpenSSLが「重要」の脆弱性に対処 予告通り新バージョンをリリース
OpenSSLプロジェクトは「OpenSSL 3.0.7」を公開した。当初の発表からは深刻度は下がったが、2つの脆弱性に対処しており、該当製品を使用している場合は迅速なアップデートが求められる。 - VMware Cloud FoundationにCVSS v3スコア9.8の脆弱性 迅速にアップデートを
VMware Cloud Foundationに「緊急」の脆弱性が存在することが報告された。同脆弱性を悪用されるとシステムの制御権が乗っ取られる危険性があるとされ、注意が必要だ。迅速なアップデートの適用が求められる。
関連リンク
- CVE-2022-42252
- Apache TomcatR - Apache Tomcat 10 vulnerabilities - Fixed in Apache Tomcat 10.1.1
- Apache TomcatR - Apache Tomcat 10 vulnerabilities - Fixed in Apache Tomcat 10.0.27
- Apache TomcatR - Apache Tomcat 9 vulnerabilities - Fixed in Apache Tomcat 9.0.68
- Apache TomcatR - Apache Tomcat 8 vulnerabilities - Fixed in Apache Tomcat 8.5.83
- JVNVU#93003913: Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題
Copyright © ITmedia, Inc. All Rights Reserved.