JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「JVNVU#96182160: Apache Tomcatにおけるリクエストスマグリングの脆弱性」において、Apache Tomcatに脆弱性が存在するとして、注意を呼び掛けた。Apache Tomcatをリバースプロキシの背後に設置している場合、この脆弱性により1つのリクエストを複数のリクエストとして処理する可能性がある。

  • JVNVU#96182160: Apache Tomcatにおけるリクエストスマグリングの脆弱性

    JVNVU#96182160: Apache Tomcatにおけるリクエストスマグリングの脆弱性

脆弱性に関する情報は次のページにまとまっている。

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 11.0.0-M1から11.0.0-M10までのバージョン
  • Apache Tomcat 10.1.0-M1から10.1.15までのバージョン
  • Apache Tomcat 9.0.0-M1から9.0.82までのバージョン
  • Apache Tomcat 8.5.0から8.5.95までのバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Apache Tomcat 11.0.0-M11およびこれ以降のバージョン
  • Apache Tomcat 10.1.16およびこれ以降のバージョン
  • Apache Tomcat 9.0.83およびこれ以降のバージョン
  • Apache Tomcat 8.5.96およびこれ以降のバージョン

修正された脆弱性の情報は次のとおり。

  • CVE-2023-46589 - 不適切な入力検証の脆弱性。ヘッダサイズの制限を超えるトレーラヘッダが存在すると、1つのリクエストを複数のリクエストとして扱い、リバースプロキシの背後でリクエストスマグリングが発生する可能性がある

この脆弱性の深刻度は提示されていないが、Apache Tomcatの開発者であるMark Thomas氏は重要(Important)と評価している。JPCERT/CCは開発者の提供する情報に基づきアップデートを適用することを推奨している。