Apache Tomcat信息泄露漏洞(CVE-2023-28708)

漏洞编号

CVE-2023-28708

漏洞类型

信息泄露

漏洞等级

高危

发布时间

2023-03-23

漏洞描述

有关情报显示,Apache 官方修复了 Apache Tomcat 中的一个信息泄露漏洞 (CVE-2023-28708)。当Apache Tomcat 的 RemoteIpFilter 和 HTTP反代理起使用时,如果请求中包含设置为 https 的 X-Forwarded-Proto 标头,则Tomcat创建的会话 cookie未包括安全属性,可能导致用户代理通过不安全的通道传输会话 cookie,造成敏感信息泄漏。

影响版本

Apache Tomcat版本:11.0.0-M1 – 11.0.0-M2

Apache Tomcat版本:10.1.0-M1 – 10.1.5

Apache Tomcat版本:9.0.0-M1 – 9.0.71

Apache Tomcat版本:8.5 .0 – 8.5.85

修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache Tomcat版本:>= 11.0.0-M3

Apache Tomcat版本:>= 10.1.6

Apache Tomcat版本:>= 9.0.72

Apache Tomcat版本:>= 8.5.86

版权所有 © 2021 广州网安信息技术有限公司

粤ICP备2021096656号粤公网安备 44010402002568号