Tomcatにおけるリクエストスマグリングの脆弱性について

平素よりBizRobo! をご利用いただき、誠にありがとうございます。
　
Apache Tomcat（以下Tomcat）で発見された脆弱性（CVE-2023-46589）に関するBizRobo! 各種サービスへの影響、および対応方法についてご案内いたします。
脆弱性の詳細につきましては、以下をご確認ください。
※参考URL：https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-008161.html

▼はじめに
　①TomcatはApache Software Foundationが開発したオープンソースソフトウェアであり、
　　BizRobo! ではBizRobo! Basic、BizRobo! Lite/Lite+などの「サーバ型サービス」におけるManagement Console（MC）の為のミドルウェアとして採用されています。
　②本脆弱性は、外部からの攻撃により直ちに危険にさらされるものではありません。ユーザー様の定めるセキュリティポリシーに従って対応の実施要否をご検討ください。 

▼脆弱性の内容
　Apache Tomcat には、細工された HTTP トレーラーヘッダを受信した場合に正しく解析できないことに起因する、リクエストスマグリングの脆弱性（CVE-2023-46589）が存在します。 

▼想定される影響
　Apacheの公式サイトによると、Tomcat をリバースプロキシの背後に配備している場合、1つのリクエストを複数のリクエストとして処理してしまう可能性があります。
　BizRobo! におけるリクエストスマグリングの脆弱性による影響は、現状におきましてはありません。
　 リクエストスマグリングとは非管理者ユーザーが管理者ユーザーの情報をアクセスするために、他のユーザーのリクエストに干渉して異なる処理を実行させてしまうことを指します。
　 フロントエンドのみ認証が行われる(バックエンドは認証行われない)ウェブシステムでは実行される可能性がありますが、BizRobo! の Management Consoleにおいてはこの条件に該当しません。
　 将来的に、バックエンドにおきまして本件に関連する不具合が発見されました場合は改めてお知らせいたします。 

▼BizRobo! への影響
　BizRobo! 各サービスへの影響はありません。 

【参考情報】 

▼本脆弱性の対象となるTomcatのバージョン
　① Apache Tomcat 11.0.0-M1 から 11.0.0-M10までのバージョン
　② Apache Tomcat 10.1.0-M1 から 10.1.15までのバージョン
　③ Apache Tomcat 9.0.0-M1 から 9.0.82までのバージョン
　④ Apache Tomcat 8.5.0 から 8.5.95までのバージョン 

▼お問合せ先：
　RPAテクノロジーズ株式会社
　プロダクト＆サポート部　Product Deliveryチーム　
　アドレス：solutionlab@bizrobo.com