JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月2日、「JVNVU#93003913: Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題」において、Apache Tomcatに重要度の高い脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって影響を受けたシステムに対してリクエストスマグリング攻撃が行われる危険性があるという。
脆弱性が存在するとされるApache Tomcatのバージョンは次のとおり。
- Apache Tomcat 10.1.0-M1から10.1.0までのバージョン
- Apache Tomcat 10.0.0-M1から10.0.26までのバージョン
- Apache Tomcat 9.0.0-M1から9.0.67までのバージョン
- Apache Tomcat 8.5.0から8.5.52までのバージョン
この脆弱性は、無効なHTTPヘッダの取り扱い方法に起因するという。Apache TomcatにてrejectIllegalHeaderをfalse(8.5系だけは初期設定)と設定されており、無効なHTTPヘッダを無視するように設定されている場合、不正なヘッダを含むリクエストを拒否しないため、Tomcatをリバースプロキシの背後に配備している場合、リクエストスマグリング攻撃が行われるリスクがあるとされている。
該当する脆弱性はCVE-2022-42252として特定されており、深刻度がCVSSv3スコア値7.5で重要(High)と位置づけられている。
脆弱性が修正されたバージョンは次のとおり。
- Apache Tomcat 10.1.1およびそれ以降
- Apache Tomcat 10.0.27およびそれ以降
- Apache Tomcat 9.0.68およびそれ以降
- Apache Tomcat 8.5.83およびそれ以降