登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

Apache Tomcat信息泄露漏洞通告(CVE-2023-28708)

【发布时间:2023-04-20】

新华三盾山实验室

2023/03/23


1. 漏洞综述

1.1 漏洞背景

Apache Tomcat是一个免费的开源Web服务器和Servlet容器,用于部署和服务Java Web应用程序。具有处理HTML页面的功能,被普遍使用在轻量级Web应用服务的构架中,是开发和调试JSP 程序的首选。近日,新华三盾山实验室监测到Apache官方发布了安全公告,修复了一个存在于Apache Tomcat中的信息泄露漏洞(CVE-2023-28708),该漏洞可能会导致敏感信息泄露。

1.2 漏洞详情

由于Apache Tomcat中存在信息泄露漏洞,当Apache Tomcat的RemoteIpFilter和HTTP反向代理一起使用时,恶意攻击者通过设置https的X-Forwarded-Proto标头,Tomcat创建的会话cookie不包括安全属性,导致用户代理通过不安全的通道传输会话cookie,成功利用此漏洞可获取敏感信息。

2. 影响范围

· 11.0.0-M1 <= Apache Tomcat <= 11.0.0-M2

· 10.1.0-M1 <= Apache Tomcat <= 10.1.5

· 9.0.0-M1 <= Apache Tomcat <= 9.0.71

· 8.5 .0 <= Apache Tomcat <= 8.5.85

3. 严重等级

威胁等级

高危

影响程度

广泛

利用价值

利用难度

漏洞评分

8.6

4. 处置方法

4.1 官方补丁

目前官方已修复该漏洞,受影响用户可以升级更新到安全版本。官方下载链接:https://tomcat.apache.org/

5. 参考链接

https://tomcat.apache.org/security-11.html

https://lists.apache.org/thread/hdksc59z3s7tm39x0pp33mtwdrt8qr67

新华三官网
联系我们