安全公告/【CVE-2023-45648】
基本信息
漏洞描述
Apache Tomcat 中存在输入验证不当漏洞。Tomcat 11.0.0-M1 至 11.0.0-M11、10.1.0-M1 至 10.1.13、9.0.0-M1 至 9.0.81 以及 8.5.0 至 8.5.93 版本均未正确解析 HTTP 尾标头。特制的无效尾标头可能导致 Tomcat 将单个请求视为多个请求,从而导致在反向代理后面进行请求走私的可能性。 建议用户升级到版本 11.0.0-M12 及以上版本、10.1.14 及以上版本、9.0.81 及以上版本或 8.5.94 及以上版本,以修复此问题。
修复方式
软件包升级 yum -y install tomcat
补丁
厂商补丁: 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://lists.apache.org/thread/2pv8yz1pyp088tsxfb7ogltk9msk0jdp
参考
https://lists.apache.org/thread/2pv8yz1pyp088tsxfb7ogltk9msk0jdp
http://www.openwall.com/lists/oss-security/2023/10/10/10
https://www.debian.org/security/2023/dsa-5522
https://www.debian.org/security/2023/dsa-5521
https://lists.debian.org/debian-lts-announce/2023/10/msg00020.html
https://security.netapp.com/advisory/ntap-20231103-0007/