漏洞背景
近日,嘉诚安全监测到Apache Tomcat连接器mod_jk中存在一个信息泄露漏洞,漏洞编号为:CVE-2023-41081。
mod_jk(也称为JK)是Apache服务器和Tomcat应用服务器之间的一个连接器,用于在两者之间传递请求和响应。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,这两个漏洞均为高危漏洞。在某些情况下,如当配置包括JkOptions+ForwardDirectories,但该配置没有为所有可能的代理请求提供显式挂载时,mod_jk将使用隐式映射并将请求映射到第一个定义的Worker(工作进程/线程)。这种隐式映射可能会导致意外暴露状态Worker或绕过httpd中配置的安全约束。
危害影响
影响范围:
Apache Tomcat连接器mod_jk版本:1.2.0 - 1.2.48
修复建议
根据影响版本中的信息,建议相关用户尽快更新至安全版本,即Apache Tomcat 连接器mod_jk >= 1.2.49版本,下载链接请参考:
https://tomcat.apache.org/download-connectors.cgi
注:从 JK 1.2.49 开始,隐式映射功能已被删除,所有映射现在必须通过显式配置进行。只有mod_jk受该漏洞影响,ISAPI重定向器不受影响。
原文始发于微信公众号(嘉诚安全):【漏洞通告】Apache Tomcat Connectors mod_jk信息泄露漏洞安全风险通告
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论