琅琊榜海宴小说,已完本玄幻小说排行榜

【漏洞通告】Apache Tomcat請求走私漏洞(CVE-2023-45648)

安全通告

Apache Tomcat請求走私漏洞預(yù)警通告

發(fā)布日期：2023-10-13

漏洞描述

2023年10月13日公司監(jiān)測到Apache Tomcat請求走私漏洞(CVE-2023-45648)情報。Apache Tomcat是一個開源的Java Servlet容器和JavaServer Pages（JSP）容器。它是由Apache軟件基金會開發(fā)和維護(hù)的，是一個輕量級、快速、可擴(kuò)展的Web服務(wù)器，用于執(zhí)行Java Servlet和JavaServer Pages技術(shù)。由于Tomcat未能正確解析HTTP Trailer標(biāo)頭，可以通過特制的無效Trailer標(biāo)頭導(dǎo)致Tomcat 將單個請求視為多個請求，從而可能導(dǎo)致在反向代理之后出現(xiàn)請求走私。成功利用該漏洞可能導(dǎo)致繞過安全控制，未經(jīng)授權(quán)訪問敏感數(shù)據(jù)等。

漏洞編號

CVE-2023-45648

漏洞危害

攻擊者可以構(gòu)可以通過特制的無效Trailer標(biāo)頭導(dǎo)致Tomcat 將單個請求視為多個請求，導(dǎo)致繞過安全控制，未經(jīng)授權(quán)訪問敏感數(shù)據(jù)。

漏洞等級

高危
受影響版本

Apache Tomcat 11.0.0-M1 – 11.0.0-M11

Apache Tomcat 10.1.0-M1 – 10.1.13

Apache Tomcat 9.0.0-M1 – 9.0.80

Apache Tomcat 8.5.0 – 8.5.93

修復(fù)方案

目前官方已發(fā)布漏洞修復(fù)版本，建議用戶升級到安全版本：

https://tomcat.apache.org/

參考鏈接

https://lists.apache.org/thread/2pv8yz1pyp088tsxfb7ogltk9msk0jdp

漏洞播報

【漏洞通告】Apache Tomcat請求走私漏洞(CVE-2023-45648)

聯(lián)系我們：cert@chaosec.com