PT-2022-6037 · Apache+7 · Apache Tomcat+7
Sam Shahsavar
·
Publicado
2022-10-11
·
Atualizado
2026-05-18
·
CVE-2022-42252
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache Tomcat 8.5.0 a 8.5.82
Versões do Apache Tomcat 9.0.0-M1 a 9.0.67
Versões do Apache Tomcat 10.0.0-M1 a 10.0.26
Versões do Apache Tomcat 10.1.0-M1 a 10.1.0
Descrição
O problema está relacionado à implementação do atributo
rejectIllegalHeader no Apache Tomcat, o que pode levar a ataques de contrabando de solicitações HTTP quando o servidor está configurado para ignorar cabeçalhos HTTP inválidos e está localizado atrás de um proxy reverso que também não rejeita tais solicitações. Isso pode permitir que um invasor remoto envie solicitações HTTP ocultas. A configuração rejectIllegalHeader, quando definida como false, permite que o Tomcat processe solicitações com cabeçalhos Content-Length inválidos, tornando o ataque possível.Recomendações
Para as versões do Apache Tomcat 8.5.0 a 8.5.82, atualize a configuração para definir
rejectIllegalHeader como true ou atualize para uma versão em que essa seja a configuração padrão.Para as versões do Apache Tomcat 9.0.0-M1 a 9.0.67, certifique-se de que
rejectIllegalHeader esteja definido como true e considere atualizar para uma versão mais recente.Para as versões do Apache Tomcat 10.0.0-M1 a 10.0.26, defina
rejectIllegalHeader como true e considere atualizar.Para as versões do Apache Tomcat 10.1.0-M1 a 10.1.0, defina
rejectIllegalHeader como true e considere atualizar para uma versão em que essa vulnerabilidade tenha sido corrigida.Como solução alternativa temporária, considere restringir o acesso ao servidor ou desativar o processamento de solicitações com
Co inválidoCorreção
DoS
RCE
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Apache Tomcat
Astra Linux
Confluence
Linuxmint
Red Os
Suse
Ubuntu