• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 應(yīng)用
  • -
    • Apache Tomcat HTTP請求走私漏洞CVE-2022-42252
    • CNNVD編號:未知
    • 危害等級: 中危 
    • CVE編號:CVE-2022-42252
    • 漏洞類型: 權(quán)限提升
    • 威脅類型:未知
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2023-03-20
    • 更新時間:2023-03-20

    漏洞簡介

    2022 年11月1日,深信服安全團(tuán)隊監(jiān)測到一則 Apache Tomcat 組件存在 HTTP 請求走私漏洞的信息,漏洞編號:CVE-2022-42252,漏洞威脅等級:中危。

    在關(guān)閉 rejectIllegalHeader 的條件下,攻擊者可利用該漏洞構(gòu)造惡意 HTTP Header 在未授權(quán)的情況執(zhí)行釣魚攻擊。

    漏洞公示

    暫無

    參考網(wǎng)站

    https://lists.apache.org/thread/zzcxzvqfdqn515zfs3dxb7n8gty589sq

    受影響實體

    目前受影響的 Apache Tomcat 版本:

    10.0.0 ≤ Apache Tomcat ≤ 10.0.26

    10.1.0 ≤ Apache Tomcat ≤ 10.1.0-M20

    9.0.0 ≤ Apache Tomcat ≤ 9.0.67

    8.5.0 ≤ Apache Tomcat ≤ 8.5.82

    補丁


    解決方案

    圖片

    如何檢測組件版本


    Windows 系統(tǒng)

    在 Tomcat 的 bin 目錄下,輸入 catalina version 命令即可顯示當(dāng)前版本信息。


    Linux 系統(tǒng)

    在 bin 目錄下執(zhí)行 sh version.sh 命令或  ./version.sh 命令可顯示當(dāng)前版本信息。

    圖片

    官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:


    Apache Tomcat系列10

    https://tomcat.apache.org/download-10.cgi


    Apache Tomcat系列9

    https://tomcat.apache.org/download-90.cgi


    Apache Tomcat系列8

    https://tomcat.apache.org/download-80.cgi