CVE-2023-46589: Apache Tomcat Request Smuggling Vulnerability
2023/11/28 SecurityOnline — 広く利用されている Java Web アプリケーション・サーバーである Apache Tomcat に、新たな脆弱性 CVE-2023-46589 が発見された。この不適切な入力検証に起因する脆弱性は、深刻度 Important に分類され、攻撃者にシステムの悪用をゆるす可能性があるとされる。
Apache Tomcat のバージョン 11.0.0-M1〜11.0.0-M10/10.1.0-M1〜10.1.15/9.0.0-M1〜9.0.82/8.5.0〜8.5.95 の、HTTP trailer ヘッダーの誤った処理が、脆弱性 CVE-2023-46589 の原因である。この、HTTP trailer の不正確な解析により、リクエスト・スマグリングにつながる可能性があるという。
リクエスト・スマグリングとは、攻撃者が使用するテクニックであり、一見すると正当なリクエストの中に、追加のリクエストを挿入する手法を指す。不正な HTTP リクエストを作成することで、攻撃者はセキュリティ対策を迂回し、機密データへの不正アクセスや、システムの完全な侵害などが可能になる。
この脆弱性は、Web アプリケーションの構築/展開において、Apache Tomcat に依存している組織にとって深刻な脅威をもたらす。そして、攻撃が成功すると、以下のような事態を招く可能性がある:
- データ漏えい:攻撃者は、パスワード/財務データ/個人記録などの機密ユーザー情報を盗む可能性がある。
- システムの乗っ取り:攻撃者は、影響を受けたシステムを完全に制御し、業務を中断させ、経済的損失を引き起こす可能性がある。
- サービス拒否攻撃:攻撃者がシステムにリクエストを殺到させ、正規のユーザーがアクセスできなくなる可能性がある。
CVE-2023-46589 がもたらす脅威に対処するためには、Apache Tomcat を下記の最新バージョンに直ちにアップグレードすることが推奨される:
- Apache Tomcat 11.0.0-M11
- Apache Tomcat 10.1.16
- Apache Tomcat 9.0.83
- Apache Tomcat 8.5.96
Apache Tomcat で、脆弱性 CVE-2023-46589 が発見されたとのことです。この製品を利用しているチームは、ご確認ください。最近の関連情報としては、2023/07/27 の「Apache Tomcat サーバが標的:ハニーポットで収集された Mirai ボットネットを分析」があります、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.