Apache Tomcat HTTP请求走私漏洞CVE-2022-42252
- CNNVD编号:未知
- 危害等级: 中危
- CVE编号:CVE-2022-42252
- 漏洞类型: 权限提升
- 威胁类型:未知
- 厂 商:未知
- 漏洞来源:深信服
- 发布时间:2023-03-20
- 更新时间:2023-03-20
漏洞简介
2022 年11月1日,深信服安全团队监测到一则 Apache Tomcat 组件存在 HTTP 请求走私漏洞的信息,漏洞编号:CVE-2022-42252,漏洞威胁等级:中危。
在关闭 rejectIllegalHeader 的条件下,攻击者可利用该漏洞构造恶意 HTTP Header 在未授权的情况执行钓鱼攻击。
漏洞公示
暂无
参考网站
https://lists.apache.org/thread/zzcxzvqfdqn515zfs3dxb7n8gty589sq
受影响实体
目前受影响的 Apache Tomcat 版本:
10.0.0 ≤ Apache Tomcat ≤ 10.0.26
10.1.0 ≤ Apache Tomcat ≤ 10.1.0-M20
9.0.0 ≤ Apache Tomcat ≤ 9.0.67
8.5.0 ≤ Apache Tomcat ≤ 8.5.82
补丁
解决方案
如何检测组件版本
Windows 系统
在 Tomcat 的 bin 目录下,输入 catalina version 命令即可显示当前版本信息。
Linux 系统
在 bin 目录下执行 sh version.sh 命令或 ./version.sh 命令可显示当前版本信息。
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
Apache Tomcat系列10
https://tomcat.apache.org/download-10.cgi
Apache Tomcat系列9
https://tomcat.apache.org/download-90.cgi
Apache Tomcat系列8
https://tomcat.apache.org/download-80.cgi
