Apache Tomcatの脆弱性(CVE-2022-42252)がProselfに与える影響について(更新)

2022/11/09
2022/11/14 更新
2023/02/07 更新

平素はProselfをご利用いただき、誠にありがとうございます。

2022/11/01に公表されたApache Tomcatの脆弱性(CVE-2022-42252)に対する影響に関して弊社製品Proselfに与える影響を調査しましたところ、Proselfの前段にプロキシサーバー等のリクエストを中継する機器があり、その機器において無効なContent-Lengthヘッダーを含むリクエストを拒否していない場合に本脆弱性の影響を受ける可能性があることがわかりました。

本件につきましてはProself Ver5.60以上で対応しておりますので、該当するお客様におかれましては大変お手数ですがProself Ver5.60以上へのアップデートを実施くださいますようお願い申し上げます。

※Proself Gateway Editon につきましては次期バージョンにて対応予定です。

なお、すぐにProself Ver5.60以上にアップデートすることが難しいお客様、Proself Gateway Editonをご利用中のお客様におかれましては、お手数をおかけてして誠に申し訳ありませんが、暫定回避策として以下手順で無効なヘッダを含むリクエストを拒否するよう設定変更いただきますようお願い申し上げます。
※同梱するTomcatバージョンが8.5系であるProself Ver5.50~Ver5.53、Proself Gateway Editon Ver1.60~Ver1.62における設定手順となっております。
Proself Ver5.43以下、Proself Gateway Edition Ver1.50以下に同梱しているTomcatバージョン7系は開発元のサポートが終了しており本脆弱性の影響を受けるかどうかが不明であるため、Proself Ver5.53、Proself Gateway Edition Ver1.62にアップデートした上で設定変更を実施いただきますようお願い申し上げます。
※クラスタリング構成の場合は、Proselfをインストールしている各サーバーに対して実施いただく必要がございます。

  1. Proselfのサービスを停止します。
  2. Proselfインストールフォルダ/conf/server.xmlのバックアップを取得します。
    ※バックアップファイル名はserver.xml.bakcup.20221109等、末尾が.xmlとならないようにしてください。
    ※インストールフォルダの確認方法につきましては以下FAQを参照ください。
    https://www.proself.jp/support/faq433/
  3. Proselfインストールフォルダ/conf/server.xmlを以下内容で編集します。
    • 70行目付近
      <編集前>
      (省略)
          <Connector port="80" protocol="HTTP/1.1"
                     maxThreads="150"
                     connectionTimeout="60000"
                     disableUploadTimeout="true" URIEncoding="UTF-8"/>
      (省略)
      
      <編集後>(赤字の部分を追加します)
      (省略)
          <Connector port="80" protocol="HTTP/1.1"
                     maxThreads="150"
                     connectionTimeout="60000"
                     disableUploadTimeout="true" URIEncoding="UTF-8" rejectIllegalHeader="true"/>
      (省略)
      
    • 90行目付近
      <編集前>
      (省略)
          <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
                     maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8"
                       >
      (省略)
      
      <編集後>(赤字の部分を追加します)
      (省略)
          <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
                     maxThreads="150" connectionTimeout="60000" scheme="https" secure="true" URIEncoding="UTF-8" rejectIllegalHeader="true"
                       >
      (省略)
      
  4. Proselfのサービスを起動します。