Apache Tomcat http請求走私漏洞

來源: 投稿

作者: OSCS開源供應鏈安全

2023-10-12 10:24:00

漏洞描述

Apache Tomcat是一個開源Java Servlet容器和Web服務器，用于運行Java應用程序和動態網頁。HTTP trailer 頭是HTTP消息中的特殊類型頭部，服務器通常解析這些trailer獲取附加的元數據或其他信息。

在受影響的版本中，由于Tomcat無法正確解析 HTTP trailer 頭。攻擊者構造惡意的HTTP trailers 頭，導致服務器解析出多個請求，欺騙處于反向代理的目標服務器，使攻擊者繞過訪問控制，進行未授權操作獲取未授權資源。

漏洞名稱	Apache Tomcat http請求走私漏洞
漏洞類型	輸入驗證不恰當
發現時間	2023-10-11
漏洞影響廣度	一般
MPS編號	MPS-b5of-dwyh
CVE編號	CVE-2023-45648
CNVD編號	-

影響范圍

org.apache.tomcat:tomcat@[9.0.0-m1, 9.0.81)

org.apache.tomcat:tomcat@[11.0.0-m1, 11.0.0-m12)

org.apache.tomcat:tomcat@[10.1.0-m1, 10.1.14)

org.apache.tomcat:tomcat@[8.5.0, 8.5.94)

org.apache.tomcat:tomcat-coyote@[9.0.0-m1, 9.0.81)

org.apache.tomcat:tomcat-coyote@[11.0.0-m1, 11.0.0-m12)

org.apache.tomcat:tomcat-coyote@[10.1.0-m1, 10.1.14)

org.apache.tomcat:tomcat-coyote@[8.5.0, 8.5.94)

org.apache.tomcat.embed:tomcat-embed-core@[9.0.0-m1, 9.0.81)

org.apache.tomcat.embed:tomcat-embed-core@[11.0.0-m1, 11.0.0-m12)

org.apache.tomcat.embed:tomcat-embed-core@[10.1.0-m1, 10.1.14)

org.apache.tomcat.embed:tomcat-embed-core@[8.5.0, 8.5.94)

tomcat9-admin@(-∞, 9.0.43-2~deb11u7)

libtomcat9-embed-java@(-∞, 9.0.43-2~deb11u7)

libtomcat9-java@(-∞, 9.0.43-2~deb11u7)

tomcat9@(-∞, 9.0.43-2~deb11u7)

tomcat9-common@(-∞, 9.0.43-2~deb11u7)

tomcat9-docs@(-∞, 9.0.43-2~deb11u7)

tomcat9-user@(-∞, 9.0.43-2~deb11u7)

tomcat10@(-∞, 10.1.6-1+deb12u1)

tomcat9-examples@(-∞, 9.0.43-2~deb11u7)

tomcat8@影響所有版本

tomcat9@影響所有版本

tomcat10@(-∞, 10.1.14-1)

修復方案

將組件 tomcat9-common 升級至 9.0.43-2~deb11u7 及以上版本

將組件 tomcat9-user 升級至 9.0.43-2~deb11u7 及以上版本

將組件 tomcat10 升級至 10.1.6-1+deb12u1 及以上版本

將 org.apache.tomcat:tomcat-coyote 升級至 8.5.94、9.0.81、10.1.14、11.0.0-m12 及以上版本

將 org.apache.tomcat.embed:tomcat-embed-core 升級至 8.5.94、9.0.81、10.1.14、11.0.0-m12 及以上版本

將組件 tomcat9-admin 升級至 9.0.43-2~deb11u7 及以上版本

將組件 libtomcat9-java 升級至 9.0.43-2~deb11u7 及以上版本

將組件 tomcat9 升級至 9.0.43-2~deb11u7 及以上版本

將組件 tomcat9-examples 升級至 9.0.43-2~deb11u7 及以上版本

將 org.apache.tomcat:tomcat 升級至 8.5.94、9.0.81、10.1.14、11.0.0-m12 及以上版本

將組件 libtomcat9-embed-java 升級至 9.0.43-2~deb11u7 及以上版本

將組件 tomcat9-docs 升級至 9.0.43-2~deb11u7 及以上版本

將組件 tomcat10 升級至 10.1.14-1 及以上版本

參考鏈接

https://www.oscs1024.com/hd/MPS-b5of-dwyh

https://nvd.nist.gov/vuln/detail/CVE-2023-45648

https://www.openwall.com/lists/oss-security/2023/10/10/10

????

免費情報訂閱&代碼安全檢測

OSCS是國內首個開源軟件供應鏈安全社區，社區聯合開發者幫助全球頂級開源項目解決安全問題，并提供實時的安全漏洞情報，同時提供專業的代碼安全檢測工具為開發者免費使用。社區開發者可以通過配置飛書、釘釘、企業微信機器人獲取一手的情報。

免費代碼安全檢測工具： https://www.murphysec.com/?src=osc

免費情報訂閱： https://www.oscs1024.com/cm/?src=osc

具體訂閱方式詳見： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展開閱讀全文

本站新聞禁止未經授權轉載，違者依法追究相關法律責任。授權請聯系：oscbianji#oschina.cn

本文標題：Apache Tomcat http請求走私漏洞

本文地址：http://www.doharose.com/news/261404

資訊來源：https://www.oscs1024.com/hd/MPS-b5of-dwyh?src=osc

熱門評論

明月驚鵲amita 2023-11-10 16:19

領完免費的，用它寫了些業務邏輯，感覺有點東西啊，居然比codeium推薦出來的還準，要是能支持eclipse就更好了

newwell 2023-11-10 14:54

中文不是一直都叫廢了米嗎

苦行瓜 2023-10-29 17:26

黑客：哈哈，終于光明正大地搞SQL注入攻擊了

sunday12345 2023-11-10 14:20

難道你們真買不到 A100 H800 了？？？不過是多花點錢唄～

兇殘的花生米 2023-11-10 16:51

膜拜大佬

百小僧 2023-11-10 16:00

適合 .net core 開發用戶

Im曉莊 2023-11-10 17:19

上面4個收費評論???

Outshine 2023-10-29 13:01

PHP：我遙遙領先了？

百小僧 2023-11-10 15:59

用戶自由選擇~

osc_04614705 2023-11-07 15:18

貴陽本地IT圈的，剛聽到這個項目消息的時候確實比較驚訝，還特地去看了貴陽銀行的公告，4.27億不只是數據庫的，還有核心應用和其他應用、服務器、操作系統等等，這種扭曲事實、掐頭去尾的報到，想必是別有用心的人所為。還有就是這張“預祝海報”，自始至終人銀行官方都沒有發過，居然冒用銀行的logo和署名發布虛假海報，并且高調宣傳國外數據庫產品，我看“刑”。坐等官方消息吧，不信謠不傳謠！由此可見國產化道路充滿荊棘，衷心的祝愿國產技術越來越好！??

哈庫納 2023-11-10 17:04

不看好文心一言，一堆問題，連個最基本的英文翻譯都搞不定。

leiaoo 2023-11-10 15:08

我等啥時候文心一言能夠正面回答關于魏則西的問題再使用

曬太陽的小豬 2023-11-10 17:38

功德無量，造福世界?。?！

一支小蜜蜂 2023-11-10 16:18

學生黨試用了一下，感覺還可以，希望能夠多免費幾天，或者給一些教育優惠

加百列Gabriel 2023-11-03 14:51

大概率是個一點技術都不懂的HR, 一點都不明白開源是什么, linus在他眼里估計也瞧不上

山下農-山上仙 2023-11-03 13:49

感覺似乎有些道理

amita 2023-11-06 08:36

太短視了。能無私投入開源的大概率屬于開放、喜歡分享、易合作人群，這其實屬于軟實力。很多程序員只能作打工人，是因為自私自利心太重，難以適應商業的開放合作特性

osc_23301501 2023-11-10 16:45

不支持連體嗎

talent-tan 2023-11-09 14:31

牛逼的產品都是用訂單展示實力，我在遙遠的江蘇都能聽到陳總企業微信收款的聲音。實力不允許你低調了，韜光養晦已經韜不住了??

一介農夫 2023-10-28 11:17

從要求實名制的時候就沒有建立統一的真實信息存儲服務，從而導致大量的機構借這個要求肆意收集用戶信息并且這些數據更精確了，真要追究起來，追責的是 ZF

asdfghjkl12345678 2023-10-30 12:17

還是喜歡原來的前端, 現在前端搞的太復雜了

ymgydx 2023-11-10 16:54

免費

GG-Bond 2023-11-10 15:11

吉魅OS

zoujiaqing 2023-11-01 01:21

國內就這水平還打壓科技企業呢？跟美國怎么打科技仗？鼠目寸光的規劃?。?！

yong230 2023-11-06 15:29

谷歌這么牛逼，咋不自己研發，還要收購安卓系統，2005年還要收購Skia 庫?

天朝八阿哥 2023-10-27 16:07

PDD怎么說？

百小僧 2023-11-10 15:59

謝謝~

kakai 2023-10-31 20:47

我就想知道，離職了能不能帶走

taolive 2023-11-01 07:16

后面出的都太厚了，沒購買欲了

Yokesily 2023-10-28 14:04

這年頭，到處都是重新定義，混淆忽悠，稍微能說真話都值得稱贊

phper08 2023-11-10 14:42

懶得折騰

PynixWang 2023-11-10 15:14

using Microsoft.OpenApi.Models; var builder = WebApplication.CreateBuilder(args); builder.Services.AddEndpointsApiExplorer(); builder.Services.AddSwaggerGen(c => { c.SwaggerDoc("v1", new OpenApiInfo { Title = "PizzaStore API", Description = "Making the Pizzas you love", Version = "v1" }); }); var app = builder.Build(); app.UseSwagger(); app.UseSwaggerUI(c => { c.SwaggerEndpoint("/swagger/v1/swagger.json", "PizzaStore API V1"); }); app.MapGet("/", () => "Hello World!"); app.Run();看了最新的C#，感覺越來越像JS了。

IT寫輪眼 2023-10-30 16:06

余承東把這個詞給毀了. 原本一個褒義詞, 硬生生的毀成一個貶義詞

luke0202 2023-10-31 10:20

還是喜歡原來的前端, 現在前端搞的太復雜了，得搭環境，還容易出各種問題，網絡問題，各種版本問題等?，F在用 JQuery 跟兼不兼容IE沒太大關系，IE 都死了，使用 JQuery 輕量簡潔，還有豐富的插件使用。

fzn0268 2023-11-10 16:30

dei，就是錢多

Francesca 2023-10-30 21:18

國產又不是只有華為，不知道有什么好吹的，小米，vivo，oppo都很牛，絲毫不輸華為

-SORA- 2023-11-03 22:32

國外技術團隊都在致力于豐富web生態，而國內只會抱怨《還是喜歡原來的前端, 現在前端搞的太復雜了》。

Yeedot 2023-11-10 14:22

已經用上了

雲霽 2023-11-10 14:51

免費試用，先試試再說

asdfghjkl12345678 2023-11-05 00:16

這又是哪個關系戶引進的？

明月驚鵲 2023-11-10 14:19

律呂！

foobra 2023-11-08 11:58

不錯，重新定義了《可能》《實際體驗》

LookEyes 2023-11-10 14:50

你們？不過？多花“點”？唄？要不你買“點”看看？

風沐流螢 2023-11-01 10:28

夸克剛出的時候還很簡潔好用，后來就是廣告加會員加一堆用不上的臃腫功能，現在又是搞澀，簡直和當年的UC一模一樣，估計下一步就是震驚部了。

cpddddddd 2023-11-10 17:23

試用了一下感覺不錯，學生黨綁定edu郵箱可不可以優惠一下捏

LongCity 2023-11-02 16:13

下次恢復回來，又是一次性能大幅度提升

PynixWang 2023-11-10 15:11

和asp.net webapi相比有什么優勢嗎？更符合中國開發者寶寶體質？

我的ID是jmjoy 2023-10-31 09:19

華為遭國人討厭，很大程度就是余承東造成的

sxgkwei 2023-11-10 16:51

支持，就我用過的手機來說，華為的質量，確實比小米好很多。不過華為也是真的勾，手機安裝個網站下載的APP，又是各種檢測又是提示去它應用商店，然后讓你重下載的（下載不要時間，不要流量??？），一步步只管確認的習慣下，保證給點錯。好不容易都通過了，然后又必須在手機系統級別，讓登錄華為賬號，才讓你安裝，勾東西，安裝APP和登錄賬號有啥必然必要性么？搞得每次安裝非應用市場APP，下載完了，都要斷wifi，斷流量，才能愉快安裝，真是服了。還有華為手環，沒電了，充上電，非要連接APP做什么同步，正常得手環界面才能出現，我就搞不懂了，沒電了就是不同步時間，它上面其它功能就不能用了還是咋滴，就是完全不讓人用，真得太勾了。

丶凡塵 2023-11-10 16:13

公司自己會考慮性價比的自己當老板就是到了

開源中國首席醬油官 2023-10-30 15:35

還是喜歡原來的前端, 現在前端搞的太復雜了

LiveLongLife 2023-11-10 17:44

能不能不要給中國推送更新，又用不了還占內存

七合一的那只小金剛 2023-11-10 15:21

等不到了。。。

TPM-osc_73581235 2023-11-06 17:38

哪里有銀行公告說我們升級替換數據庫的，公告不都是業務系統升級嗎？這年頭開源技術論壇也來造謠一張嘴辟謠跑斷腿啊

漫步海邊小路 2023-11-06 16:56

桌面處理器很難搞，絕大多數中國用戶只會用windows,而龍芯注定只能用linux等系統。中國的linux軟件生態極其差，大廠沒幾個真正可用的項目，qq for linux 除外，qq音樂和百度云網盤也還行。網易云音樂的linux也沒了，之前還有幾個出過linux版軟件的也沒后續了，而微信堅決不重視linux,只出了個uos能用的極其簡易的版本

對岸的老賈 2023-11-10 16:10

剛試了下用著還行啊，隨便寫幾行感覺不比Copilot差太多。多少也給國內的程序員多了一個選擇

h4cd 2023-11-07 16:08

問題問得真真實。

ydhh 2023-11-04 09:44

致力于開源的開發者都是特別灑脫的人,不然一個自私的人怎么可能花自己的時間貢獻、分享出自己的成果

wn1993 2023-11-10 15:50

試了下雖然有瑕疵但是還不錯，繼續加油吧，對個人用戶能不能再優惠些？

變形精怪 2023-10-28 04:41

我手機在褲兜里，鎖屏狀態，跟朋友聊天了些很陌生的概念，打開頭條就會給我推相關新聞，微信朋友圈會有相關廣告，這種情況不是一次兩次了，不是外國的月亮更圓，是國內某些事惡心至極。

?OSCHINA(OSChina.NET)

工信部

開源軟件推進聯盟

指定官方社區

社區規范

深圳市奧思網絡科技有限公司版權所有

粵ICP備12009483號

頂部

一本久久综合亚洲鲁鲁五月天,无翼乌口工全彩无遮挡H全彩,英语老师解开裙子坐我腿中间