安全公告/【CVE-2023-45648】

基本信息

漏洞名称:Apache Tomcat 输入验证错误漏洞(CVE-2023-45648)
受影响操作系统:Asianux Server release 7.6
危险等级:中危
影响源码包:Tomcat/8.5.87
CVSS评分:5.3
发现日期:2023-10-10
修复日期:
修复版本:

漏洞描述

Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat存在安全漏洞,该漏洞源于没有正确解析HTTP尾部标头,导致攻击者可以利用特制的尾部标头造成反向代理走私。受影响的产品和版本:Apache Tomcat 11.0.0-M1至11.0.0-M11版本,10.1.0-M1至10.1.13版本,9.0.0.M1至9.0.81版本,8.5.0至8.5.93版本。

漏洞判定


        

        

            
修复方式

            
yum update tomcat-8.5.99-16.axs7.noarch.rpm tomcat-lib-8.5.99-16.axs7.noarch.rpm tomcat-jsp-2.2-api-8.5.99-16.axs7.noarch.rpm tomcat-servlet-3.0-api-8.5.99-16.axs7.noarch.rpm tomcat-el-2.2-api-8.5.99-16.axs7.noarch.rpm

        

  
        

            
补丁

            
厂商补丁:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/2pv8yz1pyp088tsxfb7ogltk9msk0jdp

        

        

            
参考