关于Apache Tomcat请求走私漏洞(CVE-2023-46589)

北风浊酒2024-06-08 11:03

一、 基本情况

Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。

二、 漏洞描述

Apache Tomcat中修复了一个请求走私漏洞(CVE-2023-46589)。

由于Tomcat未能正确解析HTTP Trailer标头,超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求,从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制,未经授权访问敏感数据等。

三、 影响范围

Apache Tomcat 11.0.0-M1 - 11.0.0-M10

Apache Tomcat 10.1.0-M1 - 10.1.15

Apache Tomcat 9.0.0-M1 - 9.0.82

Apache Tomcat 8.5.0 - 8.5.95

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache Tomcat版本>= 11.0.0-M11

Apache Tomcat版本>= 10.1.16

Apache Tomcat版本>= 9.0.83

Apache Tomcat版本>= 8.5.96

下载链接:

https://tomcat.apache.org/

五、 参考链接

https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr

https://nvd.nist.gov/vuln/detail/CVE-2023-46589

相关推荐
黎雁·泠崖3 分钟前
【魔法森林冒险】1/14 项目总览:用Java打造你的第一个回合制冒险游戏
java·开发语言
NuageL9 分钟前
原始Json字符串转化为Java对象列表/把中文键名变成英文键名
java·spring boot·json
222you23 分钟前
Redis的主从复制和哨兵机制
java·开发语言
江湖有缘27 分钟前
零基础入门:使用 Docker 快速部署 Organizr 个人主页
java·服务器·docker
chilavert31832 分钟前
技术演进中的开发沉思-357:重排序(下)
java·后端
Boop_wu38 分钟前
Spring生态
java·后端·spring
jzheng861040 分钟前
Spring Boot(快速上手)
java·spring boot·后端
wgslucky40 分钟前
SpringBoot解决Request和Response的内容多次读取的问题
java·spring boot·多次读取request数据
Sylvia-girl1 小时前
IO流~~
java·开发语言
冰暮流星1 小时前
javascript之数组
java·前端·javascript
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03UV安装并设置国内源04openclaw配置教程(linux+局域网ollama)05AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南06Linux下V2Ray安装配置指南07OpenClaw Chrome扩展使用教程 - 浏览器中继控制08Claude Code Skills 实用使用手册09openclaw使用nginx反代部署过程 与disconnected (1008): pairing required解决10Vue-skills的中文文档