近日,Apache Tomcat 中发现了三个安全漏洞。这些漏洞可被利用导致拒绝服务、请求走私和信息泄露。
1. CVE-2023-42794(严重性:低):Apache Tomcat – 拒绝服务
Tomcat 的 DoS漏洞源于 Commons FileUpload 内部分支的故障。当 Web 应用程序打开上传文件的流后无法关闭它时,Windows 系统上就会出现此缺陷。该文件固定在磁盘上,永远不会被删除,慢慢地耗尽存储空间,并最终因磁盘存储空间耗尽而导致全面的 DoS。
受影响的版本:
-
Apache Tomcat 9.0.70 至 9.0.80
-
Apache Tomcat 8.5.85 至 8.5.93
安全步骤:
升级到 Apache Tomcat 9.0.81 或 8.5.94。
2. CVE-2023-45648(严重性:重要):Apache Tomcat – 请求走私
Tomcat在处理 HTTP 尾部标头时遇到了漏洞。由于解析错误,精心设计的无效尾部标头可能会欺骗 Tomcat 将单个请求解释为多个请求。CVE-2023-45648 漏洞在反向代理背后变得尤其险恶,为请求走私铺平了道路。
受影响的版本:
-
Apache Tomcat 11.0.0-M1 至 11.0.0-M11
-
Apache Tomcat 10.1.0-M1 至 10.1.13
-
Apache Tomcat 9.0.0-M1 至 9.0.80
-
Apache Tomcat 8.5.0 至 8.5.93
安全步骤:
圣所更新至版本 11.0.0-M12、10.1.14、9.0.81 或 8.5.94。
3. CVE-2023-42795(严重性:重要):Apache Tomcat – 信息泄露
在不断地循环利用内部对象以获得最佳性能的过程中,Tomcat 跌倒了。在某些情况下,系统会无意中跳过回收过程的各个部分,从而导致泄漏:来自一个请求/响应的信息会偷偷地溜进后续请求/响应中。
受影响的版本:
-
Apache Tomcat 11.0.0-M1 至 11.0.0-M11
-
Apache Tomcat 10.1.0-M1 至 10.1.13
-
Apache Tomcat 9.0.0-M1 至 9.0.80
-
Apache Tomcat 8.5.0 至 8.5.93
安全步骤:
更新到版本 11.0.0-M12、10.1.14、9.0.81 或 8.5.94。
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
原文始发于微信公众号(Ots安全):CVE-2023-45648 和 CVE-2023-42795:Apache Tomcat 中的两个高严重性缺陷
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论