棱镜七彩安全预警
SAFETY WARNING
近日网上有关于开源项目Apache Tomcat 信息泄露漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费。成为目前比较流行的Web 应用服务器。
项目主页
https://tomcat.apache.org/
代码托管地址
https://github.com/apache/tomcat
CVE编号
漏洞情况
Apache Tomcat 是一款开源的 Web 应用服务器,RemoteIpFilter 是一个过滤器,用于将 HTTP 请求中代理服务器的 IP 地址替换为客户端的真实 IP 地址。
受影响版本中,当使用 RemoteIpFilter 处理通过 HTTP 从反向代理接收到的请求时,如果请求头中包含设置为 https 的 X-Forwarded-Proto 字段,Tomcat 创建的会话 cookie 将不包括 secure 属性,攻击者可能通过中间人攻击获取用户 cookie,从而使用受害者身份执行恶意操作。
受影响的版本
org.apache.tomcat:tomcat-catalina@[8.0.0, 8.5.86)
修复方案
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。各个版本链接如下:
ApacheTomcat 11系列: https://tomcat.apache.org/download-11.cgi
ApacheTomcat 8系列: https://tomcat.apache.org/download-80.cgi
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2023-28708
https://github.com/apache/tomcat/commit/c64d496dda1560b5df113be55fbfaefec349b50f
棱镜七彩作为国内专业开源成分管理及威胁情报服务的创新型科技企业,现全新推出柒巧板平台,免费提供一站式开源安全合规检测与开源测评服务,平台聚焦国内最主流的开源软件发展方向,助力开源行业安全与合规。更多讯息欢迎访问:https://spdx.cn/
柒巧板说
点击底部 “ 阅读原文 ” ,免费查看更多安全漏洞信息。
