安全公告/【CVE-2023-45648】

基本信息

漏洞名称:Apache Tomcat 输入验证错误漏洞(CVE-2023-45648)
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:tomcat
CVSS评分:5.3
发现日期:2024/9/19
修复日期:2024/10/10
修复版本:

漏洞描述

Apache Tomcat 中存在输入验证不当漏洞。Tomcat 11.0.0-M1 至 11.0.0-M11、10.1.0-M1 至 10.1.13、9.0.0-M1 至 9.0.81 以及 8.5.0 至 8.5.93 版本均未正确解析 HTTP 尾标头。特制的无效尾标头可能导致 Tomcat 将单个请求视为多个请求,从而导致在反向代理后面进行请求走私的可能性。 建议用户升级到版本 11.0.0-M12 及以上版本、10.1.14 及以上版本、9.0.81 及以上版本或 8.5.94 及以上版本,以修复此问题。

漏洞判定


        

修复方式

软件包升级
yum -y install tomcat

补丁

厂商补丁: 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://lists.apache.org/thread/2pv8yz1pyp088tsxfb7ogltk9msk0jdp