安全通告
Apache Tomcat 存在信息泄露漏洞预警通告
发布日期:2024-1-25
?
漏洞描述
2024年1月25日公司监测到Apache Tomcat 信息泄露漏洞(CVE-2024-21733)情报。Apache Tomcat 是一个开源 Java Servlet 容器和 Web 服务器,用于运行 Java 应用程序和动态网页。Coyote 是 Tomcat 的连接器,处理来自客户端的请求并将它们传递Tomcat 引擎进行处理。攻击者可以通过构造特定请求,在异常页面中输出其他请求的body 数据,修复版本中通过增加 finally 代码块,保证默认会重设缓冲区 position 和 limit 到一致的状态,从而造成信息泄露。
漏洞编号
CVE-2024-21733
漏洞危害
攻击者可以通过构造特定请求,在异常页面中输出其他请求的body 数据,修复版本中通过增加 finally 代码块,保证默认会重设缓冲区 position 和 limit 到一致的状态,从而造成信息泄露。
漏洞等级
高危
受影响版本
tomcat[9.0.0-M11, 9.0.44)
tomcat[8.5.7, 8.5.64)
org.apache.tomcat:tomcat-coyote[8.5.7, 8.5.64)
org.apache.tomcat:tomcat-coyote[9.0.0-M11, 9.0.44)
org.apache.tomcat.embed:tomcat-embed-core[8.5.7, 8.5.64)
org.apache.tomcat.embed:tomcat-embed-core[9.0.0-M11, 9.0.44)
org.apache.tomcat:tomcat-catalina[8.5.7, 8.5.64)
org.apache.tomcat:tomcat-catalina[9.0.0-M11, 9.0.44)
tomcat9(-∞, 9.0.53-1)
修复方案
更新 Apache Tomcat 至安全版本:
https://tomcat.apache.org/index.html
参考链接
https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz
https://github.com/apache/tomcat/commit/86ccc43940861703c2be96a5f35384407522125a