Apache Tomcat 从 8.5.7 到 8.5.63、从 9.0.0-M11 到 9.0.43 容易受到客户端不同步攻击。
当 Web 服务器无法正确处理 POST 请求的内容长度时,就会出现客户端不同步 (CSD) 漏洞。通过利用此行为,攻击者可以强制受害者的浏览器取消与网站的连接同步,从而导致敏感数据从服务器和/或客户端连接中走私。
严重性:严重
受影响的版本:Apache Tomcat 9.0.0-M11 至 9.0.43Apache Tomcat 8.5.7 至 8.5.63
建议用户升级到8.5.64或9.0.44以上版本,其中包含该问题的修复。
缓解措施:
- 升级到 Apache Tomcat 9.0.44 或更高版本- 升级到 Apache Tomcat 8.5.64 或更高版本
POST / HTTP/1.1Host: hostnameSec-Ch-Ua: "Chromium";v="119", "Not?A_Brand";v="24"Sec-Ch-Ua-Mobile: ?0Sec-Ch-Ua-Platform: "Linux"Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Encoding: gzip, deflate, brAccept-Language: en-US,en;q=0.9Priority: u=0, iConnection: keep-aliveContent-Length: 6Content-Type: application/x-www-form-urlencodedX原文始发于微信公众号(Khan安全攻防实验室):CVE-2023-46589 Apache Tomcat - 信息泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论