【漏洞通告】Apache Tomcat HTTP请求走私漏洞( CVE-2022-42252)

admin 2022年11月1日19:15:24安全漏洞评论243 views990字阅读3分18秒阅读模式

【漏洞通告】Apache Tomcat HTTP请求走私漏洞( CVE-2022-42252)


漏洞名称

Apache Tomcat HTTP请求走私漏洞

组件名称

Apache Tomcat

影响范围

Apache Tomcat - Apache

>=10.1.0-M1&&<=10.1.0

>=10.0.0-M1&&<=10.0.26

>=9.0.0-M1&&<=9.0.67

>=8.5.0&&<=8.5.52

漏洞类型

HTTP请求走私

利用条件

触发方式:远程


漏洞分析
01
组件介绍

Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。

02
漏洞描述

    2022年10月31日,Apache发布安全公告,修复了一个存在于Apache Tomcat中的HTTP请求走私漏洞。

    该漏洞的存在是由于HTTP请求验证不当造成的。远程攻击者可以向服务器发送专门制作的HTTP请求,并通过无效的Content-Length报头走私任意的HTTP报头。
    该漏洞可能允许攻击者执行钓鱼攻击,但需要将Tomcat配置为通过设置rejectIllegalHeader为false(不是默认配置)来忽略无效的HTTP头。

修复建议
01
官方修复建议

厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:

升级到ApacheTomcat 10.1.1及以上版本

升级到ApacheTomcat 10.0.27及以上版本

升级到ApacheTomcat 9.0.68及以上版本

升级到ApacheTomcat8.5.83及以上版本


02
临时修复建议


确保rejectIllegalHeader设置为true


声明
      本安全公告仅用来描述可能存在的安全问题,云科攻防实验室不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,云科攻防实验室以及安全公告作者不为此承担任何责任。            
      云科攻防实验室拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经云科攻防实验室允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

【漏洞通告】Apache Tomcat HTTP请求走私漏洞( CVE-2022-42252)

原文始发于微信公众号(云科攻防实验室):【漏洞通告】Apache Tomcat HTTP请求走私漏洞( CVE-2022-42252)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月1日19:15:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞通告】Apache Tomcat HTTP请求走私漏洞( CVE-2022-42252) http://cn-sec.com/archives/1384331.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: