米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は7月13日(米国時間)、「Apache Releases Security Advisory for Tomcat|CISA」において、オープンソースのWebアプリケーションサーバ「Apache Tomcat」にHTTPリクエストスマグリングの脆弱性が報告され、開発元のApache Software Foundationがセキュリティアドバイザリをリリースしたと伝えた。この脆弱性を悪用されると、攻撃者によって対象のシステムから機密情報を窃取されるなどの被害を受ける可能性があるという。

Apache Software Foundationによるセキュリティアドバイザリは、メーリングリストへの下記の投稿で確認することができる。

  • [SECURITY] CVE-2021-33037 Apache Tomcat HTTP request smuggling

    [SECURITY] CVE-2021-33037 Apache Tomcat HTTP request smuggling

HTTPリクエストスマグリングはフロントエンドのWebサーバとバックエンドのWebサーバの間でHTTPリクエストに対して異なる解釈をすることによって生じる脆弱性である。CVE-2021-33037に関しては、クライアントがHTTP/1.0レスポンスのみを指定している場合に、transfer-encodingヘッダーが無視されて、不正なリクエストが送信される可能性があるという。また、チャンク形式のエンコーディングの場合は、エンコーディングの終端が正しく判定されない可能性も報告されている。

影響を受けるTomcatのバージョンは以下のとおり。

  • Apache Tomcat 10.0.0-M1から10.0.6まで
  • Apache Tomcat 9.0.0.M1から9.0.46まで
  • Apache Tomcat 8.5.0から8.5.66まで

影響を受けるバージョンを使っているユーザーは、それぞれ次のバージョンにアップデートすることで被害を回避することが可能。

  • Apache Tomcat10.0.7以降
  • Apache Tomcat9.0.48以降
  • Apache Tomcat8.5.68以降