关于Apache Tomcat请求走私漏洞(CVE-2023-46589)

一、 基本情况

Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。

二、 漏洞描述

Apache Tomcat中修复了一个请求走私漏洞(CVE-2023-46589)。

由于Tomcat未能正确解析HTTP Trailer标头,超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求,从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制,未经授权访问敏感数据等。

三、 影响范围

Apache Tomcat 11.0.0-M1 - 11.0.0-M10

Apache Tomcat 10.1.0-M1 - 10.1.15

Apache Tomcat 9.0.0-M1 - 9.0.82

Apache Tomcat 8.5.0 - 8.5.95

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache Tomcat版本>= 11.0.0-M11

Apache Tomcat版本>= 10.1.16

Apache Tomcat版本>= 9.0.83

Apache Tomcat版本>= 8.5.96

下载链接:

https://tomcat.apache.org/

五、 参考链接

https://lists.apache.org/thread/0rqq6ktozqc42ro8hhxdmmdjm1k1tpxr

https://nvd.nist.gov/vuln/detail/CVE-2023-46589

相关推荐
义薄云天us8 分钟前
Apache NuttX 入门指南
apache·rtos·nuttx
道可到13 分钟前
淘宝面试原题 Java 面试通关笔记 02|从编译到运行——Java 背后的计算模型(面试可复述版)
java·后端·面试
DKPT18 分钟前
JVM如何管理直接内存?
java·笔记·学习
SimonKing19 分钟前
GitHub 标星 370k!免费编程资源大合集,从此自学不花一分钱
java·后端·程序员
kfepiza31 分钟前
Java的任务调度框架之Quartz 笔记250930
java·java ee
自由的疯32 分钟前
Java(32位)基于JNative的DLL函数调用方法
java·后端·架构
咖啡Beans36 分钟前
SpringBoot+Ehcache使用示例
java·spring boot
自由的疯38 分钟前
Java 使用Jackson进行深拷贝:优化与最佳实践
java·后端·架构
毕设源码-郭学长43 分钟前
【开题答辩全过程】以 springboot+美食电子商城的设计与实现为例,包含答辩的问题和答案
java·eclipse·美食
王嘉俊92543 分钟前
Kafka 和 RabbitMQ 使用:消息队列的强大工具
java·分布式·中间件·kafka·消息队列·rabbitmq·springboot