Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07501

Опубликовано: 31 окт. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость реализации атрибута rejectIllegalHeader сервера приложений Apache Tomcat связана с недостатками обработки HTTP-запросов, содержащих заголовок Content-Length. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Вендор

Red Hat Inc.
Apache Software Foundation
АО «НТЦ ИТ РОСА»
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Jboss Web Server
Apache Tomcat
РОСА ХРОМ
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
5.0 (Jboss Web Server)
9 (Red Hat Enterprise Linux)
от 10.1.0-M1 до 10.1.1 (Apache Tomcat)
от 10.0.0-M1 до 10.0.27 (Apache Tomcat)
от 9.0.0-M1 до 9.0.68 (Apache Tomcat)
от 8.5.0 до 8.5.53 (Apache Tomcat)
12.4 (РОСА ХРОМ)
до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9
АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread/zzcxzvqfdqn515zfs3dxb7n8gty589sq
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-42252
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения tomcat9 до версии 9.0.43+repack-2~deb11u6.osnova1
Для операционной системы РОСА ХРОМ: https://abf.rosalinux.ru/advisories/ROSA-SA-2023-2258

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 38%
0.00164
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240715-01

CVSS3: 7.5
redos
11 месяцев назад

Уязвимость tomcat

ubuntu логотип

CVE-2022-42252

CVSS3: 7.5
ubuntu
больше 2 лет назад

If Apache Tomcat 8.5.0 to 8.5.82, 9.0.0-M1 to 9.0.67, 10.0.0-M1 to 10.0.26 or 10.1.0-M1 to 10.1.0 was configured to ignore invalid HTTP headers via setting rejectIllegalHeader to false (the default for 8.5.x only), Tomcat did not reject a request containing an invalid Content-Length header making a request smuggling attack possible if Tomcat was located behind a reverse proxy that also failed to reject the request with the invalid header.

redhat логотип

CVE-2022-42252

CVSS3: 4.8
redhat
больше 2 лет назад

If Apache Tomcat 8.5.0 to 8.5.82, 9.0.0-M1 to 9.0.67, 10.0.0-M1 to 10.0.26 or 10.1.0-M1 to 10.1.0 was configured to ignore invalid HTTP headers via setting rejectIllegalHeader to false (the default for 8.5.x only), Tomcat did not reject a request containing an invalid Content-Length header making a request smuggling attack possible if Tomcat was located behind a reverse proxy that also failed to reject the request with the invalid header.

nvd логотип

CVE-2022-42252

CVSS3: 7.5
nvd
больше 2 лет назад

If Apache Tomcat 8.5.0 to 8.5.82, 9.0.0-M1 to 9.0.67, 10.0.0-M1 to 10.0.26 or 10.1.0-M1 to 10.1.0 was configured to ignore invalid HTTP headers via setting rejectIllegalHeader to false (the default for 8.5.x only), Tomcat did not reject a request containing an invalid Content-Length header making a request smuggling attack possible if Tomcat was located behind a reverse proxy that also failed to reject the request with the invalid header.

debian логотип

CVE-2022-42252

CVSS3: 7.5
debian
больше 2 лет назад

If Apache Tomcat 8.5.0 to 8.5.82, 9.0.0-M1 to 9.0.67, 10.0.0-M1 to 10. ...

EPSS

Процентиль: 38%
0.00164
Низкий

7.5 High

CVSS3

7.8 High

CVSS2