【漏洞通告】Apache Tomcat多个高危漏洞安全风险通告

admin 2023年10月13日22:42:51评论21 views字数 944阅读3分8秒阅读模式

漏洞背景










近日,嘉诚安全监测到Apache Tomcat存在多个高危漏洞,修复了Apache Tomcat中的请求走私漏洞、HTTP/2快速重置攻击拒绝服务漏洞以及信息泄露漏洞。


Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。


鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。




漏洞详情










1.CNNVD-202310-712(CVE-2023-45648)

Apache Tomcat请求走私漏洞,该漏洞源于没有正确解析HTTP Trailer标头。攻击者可以通过特制的无效Trailer标头导致Tomcat将单个请求视为多个请求,从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制,未经授权访问敏感数据等。


2.CNNVD-202310-667(CVE-2023-44487)

Apache Tomcat HTTP/2快速重置攻击拒绝服务漏洞,成功利用该漏洞可能导致出现OutOfMemoryError并可能造成拒绝服务。


3.CNNVD-202310-716(CVE-2023-42795)

Apache Tomcat信息泄露漏洞,当回收各种内部对象(包括请求和响应)时,在下一个请求/响应重新使用之前,可能出现错误导致Tomcat跳过回收过程的某些部分,从而导致信息从当前请求/响应泄露到下一个。




危害影响










影响范围:

Apache Tomcat 11.0.0-M1 - 11.0.0-M11

Apache Tomcat 10.1.0-M1 - 10.1.13

Apache Tomcat 9.0.0-M1 - 9.0.80

Apache Tomcat 8.5.0 - 8.5.93




修复建议










根据影响版本中的信息,建议相关用户尽快更新至安全版本:

Apache Tomcat >=11.0.0-M12

Apache Tomcat >= 10.1.14

Apache Tomcat >= 9.0.81

Apache Tomcat >= 8.5.94


下载链请参考接:

https://tomcat.apache.org/


【漏洞通告】Apache Tomcat多个高危漏洞安全风险通告【漏洞通告】Apache Tomcat多个高危漏洞安全风险通告

原文始发于微信公众号(嘉诚安全):【漏洞通告】Apache Tomcat多个高危漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月13日22:42:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Apache Tomcat多个高危漏洞安全风险通告http://cn-sec.com/archives/2110583.html

发表评论

匿名网友 填写信息