关于Apache Tomcat请求走私漏洞(CVE-2023-46589)

一、 基本情况

Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。

二、 漏洞描述

Apache Tomcat中修复了一个请求走私漏洞(CVE-2023-46589)。

由于Tomcat未能正确解析HTTP Trailer标头,超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求,从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制,未经授权访问敏感数据等。

三、 影响范围

Apache Tomcat 11.0.0-M1 - 11.0.0-M10

Apache Tomcat 10.1.0-M1 - 10.1.15

Apache Tomcat 9.0.0-M1 - 9.0.82

Apache Tomcat 8.5.0 - 8.5.95

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache Tomcat版本>= 11.0.0-M11

Apache Tomcat版本>= 10.1.16

Apache Tomcat版本>= 9.0.83

Apache Tomcat版本>= 8.5.96

下载链接:

https://tomcat.apache.org/

五、 参考链接

https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr

https://nvd.nist.gov/vuln/detail/CVE-2023-46589

相关推荐
Theodore_10223 小时前
4 设计模式原则之接口隔离原则
java·开发语言·设计模式·java-ee·接口隔离原则·javaee
冰帝海岸4 小时前
01-spring security认证笔记
java·笔记·spring
世间万物皆对象4 小时前
Spring Boot核心概念:日志管理
java·spring boot·单元测试
没书读了4 小时前
ssm框架-spring-spring声明式事务
java·数据库·spring
小二·5 小时前
java基础面试题笔记(基础篇)
java·笔记·python
开心工作室_kaic5 小时前
ssm161基于web的资源共享平台的共享与开发+jsp(论文+源码)_kaic
java·开发语言·前端
懒洋洋大魔王5 小时前
RocketMQ的使⽤
java·rocketmq·java-rocketmq
武子康5 小时前
Java-06 深入浅出 MyBatis - 一对一模型 SqlMapConfig 与 Mapper 详细讲解测试
java·开发语言·数据仓库·sql·mybatis·springboot·springcloud
转世成为计算机大神6 小时前
易考八股文之Java中的设计模式?
java·开发语言·设计模式
qq_327342736 小时前
Java实现离线身份证号码OCR识别
java·开发语言