下载
开发软件
账户
下载
开发软件
登录
我忘记用户名和密码了
创建帐户
语言
帮助
语言
帮助
×
登录
登录名
密码
×
我忘记用户名和密码了
简体中文翻译状态
类别:
软件
用户
PersonalForge
Magazine
Wiki
搜索
OSDN
>
浏览软件
>
Software Development
>
Frameworks
>
openGion Project
>
论坛
>
ヘルプ
>
Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題
openGion Project
Fork
euromap63
opengionV8
描述
项目概述
开发人员仪表板
项目的网页
开发人员
Image Gallery
List of RSS Feeds
Activity
统计
历史
下载
List of Releases
统计
源代码
Code Repository list
Git
euromap63
opengionV8
Subversion
查看仓库
任务单
Ticket List
里程碑列表
Type List
组件列表
List of frequently used tickets/RSS
Submit New Ticket
文档
Wiki
FrontPage
Title index
Recent changes
Doc Mgr
列表文档
沟通
论坛
List of Forums
ヘルプ (128)
公開討議 (5)
開発者 (5)
Mailing Lists
list of ML
opengion-member
新闻
论坛:
ヘルプ
(Thread #47345)
Return to Thread list
RSS
Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題 (2022-11-07 15:54 by
chatrun
#92371)
回复
Create ticket
情報共有です。
Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題
https://jvn.jp/vu/JVNVU93003913/index.html
Apache Tomcatには、無効なHTTPヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。
影響を受けるシステム
Apache Tomcat 10.1.0-M1から10.1.0までのバージョン
Apache Tomcat 10.0.0-M1から10.0.26までのバージョン
Apache Tomcat 9.0.0-M1から9.0.67までのバージョン
Apache Tomcat 8.5.0から8.5.82までのバージョン
詳細情報
Apache TomcatにてrejectIllegalHeaderをfalse(8.5系だけは初期設定)とし、無効なHTTPヘッダを無視する設定としている場合、Tomcatは無効なContent-Lengthヘッダを含むリクエストであっても拒否しないという問題(CVE-2022-42252)があります。
==================================================================
≪個人的な見解≫
① 8.5系だけは初期設定であり調査が必要。それ以外は変更していないので、問題ない。
② 8.5系でも、AJP ポートをコメントアウトしていれば、問題ない。
<Connector port ="8009" protocol="AJP/1.3" redirectPort="8443"/> ← コメントアウトしている
※ 基本的には、Apache などのWebサーバーとの連携はしていない。
==================================================================
≪参考≫
http://support.ptc.com/help/thingworx_hc/thingworx_8_hc/ja/index.html#page/ThingWorx/Help/Installation/Installation/install_java_and_apache_tomcat__rhel_.html
27. Tomcat がインストールされている場所で、conf/server.xml を開き、以下の行を見つけます。見つかった場合、コメントアウトしてファイルを保存します。
<Connector port ="8009" protocol="AJP/1.3" redirectPort="8443"/>
*
Apache Tomcat 9.0 以降では、rejectIllegalHeader 属性はデフォルトで true に設定されています。conf/web.xml ファイルを手動で修正してこの属性を false に設定することは、PTC によって推奨されておらず、サポートもされていません。
回复到 #92371
×
主体
Body
Reply To Message #92371 > 情報共有です。 > > Apache Tomcatにおける無効なHTTPヘッダの取り扱いに関する問題 > https://jvn.jp/vu/JVNVU93003913/index.html > > Apache Tomcatには、無効なHTTPヘッダの取り扱い方法に起因して、リクエストスマグリング攻撃が行われる可能性のある問題が存在します。 > > 影響を受けるシステム > Apache Tomcat 10.1.0-M1から10.1.0までのバージョン > Apache Tomcat 10.0.0-M1から10.0.26までのバージョン > Apache Tomcat 9.0.0-M1から9.0.67までのバージョン > Apache Tomcat 8.5.0から8.5.82までのバージョン > > 詳細情報 > Apache TomcatにてrejectIllegalHeaderをfalse(8.5系だけは初期設定)とし、無効なHTTPヘッダを無視する設定としている場合、Tomcatは無効なContent-Lengthヘッダを含むリクエストであっても拒否しないという問題(CVE-2022-42252)があります。 > ================================================================== > ≪個人的な見解≫ > ① 8.5系だけは初期設定であり調査が必要。それ以外は変更していないので、問題ない。 > ② 8.5系でも、AJP ポートをコメントアウトしていれば、問題ない。 > <Connector port ="8009" protocol="AJP/1.3" redirectPort="8443"/> ← コメントアウトしている > ※ 基本的には、Apache などのWebサーバーとの連携はしていない。 > > ================================================================== > ≪参考≫ > http://support.ptc.com/help/thingworx_hc/thingworx_8_hc/ja/index.html#page/ThingWorx/Help/Installation/Installation/install_java_and_apache_tomcat__rhel_.html > > 27. Tomcat がインストールされている場所で、conf/server.xml を開き、以下の行を見つけます。見つかった場合、コメントアウトしてファイルを保存します。 > <Connector port ="8009" protocol="AJP/1.3" redirectPort="8443"/> > * > Apache Tomcat 9.0 以降では、rejectIllegalHeader 属性はデフォルトで true に設定されています。conf/web.xml ファイルを手動で修正してこの属性を false に設定することは、PTC によって推奨されておらず、サポートもされていません。
You can not use Wiki syntax
You are not logged in. To discriminate your posts from the rest, you need to pick a nickname. (The uniqueness of nickname is not reserved. It is possible that someone else could use the exactly same nickname. If you want assurance of your identity, you are recommended to login before posting.)
登录
Nickname
预览
Post
取消
chatrun #92371)
openGion Project
Fork