【安全漏洞公告】Apache Tomcat信息泄漏漏洞(CVE-2023-28708)
一、漏洞簡介
|
CVE ID
|
CVE-2023-28708
|
公開日期
|
2023-03-29
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
未公開
|
攻擊途徑
|
遠程網絡
|
����
Tomcat是Apache 軟件基金會(Apache Software Foundation)的Jakarta 項目中的一個核心項目,由Apache、Sun 和其他一些公司及個人共同開發而成,當Apache Tomcat的RemoteIpFilter和HTTP反向代理一起使用時,如果請求中包含設置為https的X-Forwarded-Proto標頭,則Tomcat創建的會話cookie未包括安全屬性,可能導致用戶代理通過不安全的通道傳輸會話cookie,造成敏感信息泄露。
二、影響范圍
Apache Tomcat版本:11.0.0-M1 - 11.0.0-M2
Apache Tomcat版本:10.1.0-M1 - 10.1.5
Apache Tomcat版本:9.0.0-M1 - 9.0.71
Apache Tomcat版本:8.5.0 - 8.5.85
三、解決措施
當前官方已發布最新版本,建議受影響的用戶及時更新升級到最新版本。各個版本鏈接如下:
����
Apache Tomcat 11系列: //tomcat.apache.org/download-11.cgi
������
Apache Tomcat 10系列: //tomcat.apache.org/download-10.cgi
�����
Apache Tomcat 9系列: //tomcat.apache.org/download-9.cgi
�����
Apache Tomcat 8系列: //tomcat.apache.org/download-8.cgi
四、參考鏈接
//tomcat.apache.org/security-11.html
������
//lists.apache.org/thread/hdksc59z3s7tm39x0pp33mtwdrt8qr67
//www.hackdig.com/03/hack-953615.htm
