【安全漏洞公告】Apache Tomcat信息泄漏漏洞(CVE-2023-28708)
一、漏洞簡介
|
CVE ID
|
CVE-2023-28708
|
公開日期
|
2023-03-29
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
未公開
|
攻擊途徑
|
遠程網絡
|
Tomcat是Apache 軟件基金會(Apache Software Foundation)的Jakarta 項目中的一個核心項目,由Apache、Sun ���������和其(qi)他一些公司及個人(ren)共同(tong)開發而成(cheng),當Apache Tomcat的RemoteIpFilter和HTTP反向代理一起使用(yong)時,如果請(qing)求中包(bao)含設置為https的X-Forwarded-Proto標頭,則Tomcat創建的會話cookie未包(bao)括安(a�������n)全屬(shu)性,可能(neng)導致用(yong)戶代理通(tong)過(guo)不安(an)全的通(tong)道傳(chuan)輸會話cookie,造成(cheng)敏感信息泄露。
二、影響范圍
Apache Tomca�������t版(ban)本(ben):11.0.0-M1 - 11.0.0-M2
Apache Tomcat版本:10.1.0-M1 - 10.1.5
Apache Tomcat版本:9.0.0-M1 - 9.0.71
Apache Tomcat版本:8.5.0 - 8.5.85
三、解決措施
當前官(guan)方已發布(bu)最新版(ban)(ban)本,建議受影響(xiang)的(de)用戶及(ji)時更新升級到(dao)最新版(ban)(ban)������本。各(ge)個版(ban)(ban)本鏈接(jie)如下(xia):
Ap����ache Tomcat 11系列: //tomcat.apache.org/���download-11.cgi
Apache Tomcat����� 10系列: ������//tomcat.apache.org/download-10.cgi
Apache Tomcat 9系(xi)列: //tomcat.apache.org/download�������-9.cgi
Apache Tomcat 8系列: //tomcat.apac������he.org/download-8.cgi
四、參考鏈(lian)接
//tomcat.apache.org/security-11.html
/����/lists.apache.org/thread/hdksc59z3s7tm39x0pp33mtwdrt8qr67
//www.hackdig.com/03/hack-953615.htm
