网络安全

关于Apache Tomcat HTTP请求走私漏洞的通报预警
发布日期:2022-11-19 16:45 浏览量:

Apache Tomcat组件存在HTTP请求走私漏洞(CVE-2022-42252)。在关闭rejectIllegalHeader的条件下,攻击者可利用该漏洞构造恶意HTTP Header在未授权的情况执行钓鱼攻击。

Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。

(一)漏洞影响范围:

10.0.0 ≤ Apache Tomcat ≤ 10.0.26

10.1.0 ≤ Apache Tomcat ≤ 10.1.0-M20

9.0.0 ≤ Apache Tomcat ≤ 9.0.67

8.5.0 ≤ Apache Tomcat ≤ 8.5.82

(二)官方修复建议:

官方已经发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁,详细信息如下:

Apache Tomcat系列10

https://tomcat.apache.org/download-10.cgi

Apache Tomcat系列9

https://tomcat.apache.org/download-90.cgi

Apache Tomcat系列8

https://tomcat.apache.org/download-80.cgi