Apache Tomcat 最新信息泄露漏洞CVE-2023-28708详情及解决方案,springboot版本的对应的内嵌tomcat版本查看,tomcat相关。

最新推荐文章于 2025-06-23 17:10:52 发布
最新推荐文章于 2025-06-23 17:10:52 发布
阅读量4.6k 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: tomcat spring boot java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CJ_L1995/article/details/130777310

CVE - CVE-2023-28708 (mitre.org)

NVD - CVE-2023-28708 (nist.gov)

CVE-2023-28708 site:tomcat.apache.org - Google Search

当将 RemoteIpFilter 与通过 HTTP 从反向代理接收的请求一起使用时,包括设置为 https 的 X-Forwarded-Proto 标头,由 Apache Tomcat 11.0.0-M1 到 11.0.0.-M2、10.1.0-M1 到 10.1.5、9.0.0-M1 到 9.0.71 和 8.5.0 到 8.5.85 创建的会话 cookie 不包括安全属性。这可能会导致用户代理通过不安全的通道传输会话 Cookie。

解决方案:

[SECURITY] CVE-2023-28708 Apache Tomcat - Information Disclosure-Apache Mail Archives

建议受影响的用户及时更新升级到最新版本

springboot版本的对应的内嵌tomcat版本查看

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat (mvnrepository.com)

新项目当然用jdk17了,jdk21到今年9月份也要出来了,太新也不合适。

jdk17和21版本商用支持查看

Oracle Java SE 支持路线图

Tomcat对应支持的java版本等

Apache Tomcat® - Which Version Do I Want?

看看springboot最新正式版内嵌的tomcat版本,3.0以上的版本,最低要jdk17。

Spring Boot

从springboot2.1.0开始用的是tomcat9

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat » 2.1.0.RELEASE (mvnrepository.com)

最低的2.0.0版本用的是tomcat8.5

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat » 2.0.0.RELEASE (mvnrepository.com)

以后能选的tomcat版本其实也不多了,如果需要支持jdk1.8又要使用广泛,那肯定是springboot2.x最新版本内嵌的tomcat版本了,也就是9.0.x。当然如果遇到用9.0.x版本的项目的问题无法解决也可以用8.5.x无漏洞版本。

tomcat爆漏洞也不是第一次了,近年来真的是各种技术漏洞频出。

熬夜的猪
关注
漏洞修复:tomcat 升级版本 spring-boot-starter-tomcat 的依赖项
隔壁老瓦的专栏
05-15 875
Spring Boot项目中修复Tomcat漏洞(如CVE-2024-21733)时,通常需要升级内嵌Tomcat版本
漏洞(某渗透测试)修复-springboot项目使用内置tomcat去除\隐藏页面的异常报错信息以及版本号信息,亲测有效。
D.
09-06 3818
在项目上线进行渗透测试过程中,客户反馈,项目异常界面泄露中间件版本号,需要隐藏,以及tomcat错误异常的信息。
springboot修改内置tomcat版本,修复Tomcat 信息泄露漏洞(CVE-2021-24122)和不安全的反序列、拒绝服务攻击等漏洞
雁来南风起,东去春归来
07-28 5192
原来自己用的springboot版本是2.1.13.RELEASE,其内置tomcat版本是9.0.31,漏洞扫描时会有如题等漏洞,并提示将Tomcat升级到8.5.56、9.0.36、10.0.0-M6及以上版本,下载地址http//archive.apache.org/dist/tomcat/2、排除spring-boot-starter-web中的内置spring-boot-starter-tomcat。我的项目结构如下,里面的web、data是两个独立的项目。...
Apache Tomcat 信息泄露漏洞CVE-2023-28708处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
07-10 7707
那么Tomcat就会删除之前的War包解压的文件夹,重新解压新的War包。导致信息泄露相关分析这是由于在请求https的时候可重定向到http连接,这个过程会导致会话劫持风险,造成Cookie或Session不安全传输,攻击者可利用该漏洞可在未授权的情况下泄漏 Cookie 或 Session,最终造成服务器敏感性信息泄露。改变,包括web-inf/class,wen-inf/lib,web-inf/web.xml等文件,若发生更改,则局部进行加载,不清空session ,不释放内存。
spring boot tomcat 版本_springboot命令行启动
最新发布
u011250186的博客
06-23 214
spring boot tomcat 版本_springboot命令行启动
SpringBoot漏洞Apache Tomcat信息泄露风险(附解决方案
Carlos_ForYou的博客
08-15 3117
解决Apache Tomcat信息泄露漏洞
Tomcat中间件版本信息泄露
m0_54849806的博客
08-31 3628
解压后,通过vi编辑器修改解压出来的ServerInfo.properties文件(在/org/apache/catalina/util/下)进入Tomcat的webapps/ROOT目录,新增error_404.html页面,使用自定义页面已达到隐藏中间件版本信息的目的。Tomcat服务在响应404/500等网络错误时,默认会将当前版本信息显示出来,这样就造成了中间件版本信息泄露这样的漏洞。进入Tomcat下的lib目录,备份catalina.jar文件后,解压该文件。...
SpringBoot系列(二)指定内置tomcat版本
m0_67390379的博客
04-26 5217
简言 SpringBoot内置的tomcat版本是随着SpringBoot版本走的,比如我这SpringBoot 版本是1.5.9,内置tomcat版本是8.5.23;假如需要修改内置的tomcat版本号,则在POM依赖里< properties >里添加< tomcat.version>8.0.42< /tomcat.version> 注意:我上面标签是有空格的; <properties> <tomcat.version>8.0.42
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
08-14 7301
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
spring boot使用内嵌tomcat解决不安全的HTTP方法安全漏洞
热门推荐
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--安全的HTTP方法,如果对这个安全漏洞有不明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在不使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于不是http安全的方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对不安全的方法进行拦截。下面,我们重点说下第二种方案,因为
springboot查看内嵌tomcat版本,重新指定版本
m0_67393413的博客
03-23 1981
从以下网址: https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-tomcat/1.5.17.RELEASE 可以看到对应内嵌版本为8.5.34。 现在我升级到8.5.51: 1.pom.xml 配置properties <properties> <tomcat.version>8.5.51</tomcat.version> </prope
springboot-内嵌tomcat版本查看
startyangu的博客
02-15 461
https://www.bbsmax.com/A/obzb7VMBJE/
JDK,TOMCAT,MAVEN,Springboot,Spring版本对应
Johnny_sunshine的博客
12-04 2534
开始->设置->系统->关于->高级系统设置->系统变量 -->新建 /编辑MAVEN_HOME。1、打开apache-maven-xxx目录下的 conf/settings.xml 文件。“JAVA_HOME”,变量值为"%JDK-21%“,没有配置过的就新建。开始->设置->系统->关于->高级系统设置->环境变量。CMD输入"java -version"查看版本。“JDK-21”,变量值指定路径为"变量名:CATALINA_HOME。变量值是Maven的安装路径。cmd验证Maven。
简单的spring boot tomcat版本升级
qq_19342829的博客
08-14 5725
springboot升级tomcat
Apache Tomcat文件包含漏洞复现(详细教程)
weixin_60838266的博客
07-18 4630
TomcatApache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
Apache Tomcat 问题漏洞
weixin_45816407的博客
08-08 1668
Apache Tomcat 环境问题漏洞(CVE-2022-42252)Apache Tomcat 信息泄露漏洞(CVE-2023-28708)建议直接升级tomcat的小版本,即就是升级到最新版本注:跨版本升级请自行百度。
springBoot项目本地运行成功,但是打WAR包部署到tomcat启动失败。(springboottomcat版本对应关系)
L1511768722的博客
08-08 1547
java.lang.IllegalStateException: Illegal access: this web application instance has been stopped already. Could not load [ch.qos.logback.core.status.WarnStatus]. The following stack trace is thrown for debugging purposes as well as to attempt to terminate t
Tomcat错误信息(服务器版本号)泄露(低危)
baixijiao5424的博客
03-19 1876
一、问题描述Tomcat报错页面泄漏Apache Tomcat/7.0.52相关版本号信息,是攻击者攻击的途径之一。因此实际当中建议去掉版本号信息。 二、解决办法 1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar 进入到\org\apache\catalina\util目录下 2、编辑ServerInfo.properties文件,编辑最后三行...
tomcat有哪些漏洞
03-10
### Tomcat 安全漏洞概述 Apache Tomcat 是一款广泛应用的开源 Java Servlet 容器,因其普及程度而频繁成为安全研究和攻击的对象。为了保障 Web 应用的安全性,及时修复已知的安全漏洞至关重要。 #### CVE-2024-50379 漏洞描述及修复建议 CVE-2024-50379 描述了一个存在于特定版本 Apache Tomcat 中的安全缺陷。该漏洞可能允许未经身份验证的远程攻击者执行任意命令或读取敏感文件。针对此漏洞,官方推荐立即升级至不受影响的新版 Tomcat[^1]。 #### CVE-2024-52318 漏洞描述及修复建议 另一个值得关注的是 CVE-2024-52318,这是一个同样严重的安全问题,在某些情况下可能导致数据泄露或其他恶意行为。对于这个漏洞,也应尽快采取措施进行修补,通常涉及更新到最新的稳定版本。 #### 默认管理账户弱口令风险 除了上述两个具体编号的漏洞外,还存在因默认配置不当引发的风险。例如,默认进入后台管理界面所使用的用户名/密码组合(如 `tomcat/tomcat`),如果未被更改,则容易受到未经授权访问威胁。因此强烈建议自定义强健的认证凭证并定期更换密钥[^5]。 #### 更新策略与最佳实践 为防止各类潜在安全隐患的发生,保持软件处于最新状态是最基本也是最有效的防御手段之一。根据官方文档指引,不同分支下的Tomcat应当分别升級到指定的安全补丁级别: - **Tomcat 7**: 至少达到 7.0.100 版本- **Tomcat 8**: 推荐使用 8.5.51 或更高版本- **Tomcat 9**: 建议安装 9.0.31 及以上版本; 需要注意的是,Apache Tomcat 6 已终止技术支持和服务,故鼓励用户迁移至更现代且持续维护的产品线以获得更好的安全保障[^3]。 ```bash # 使用包管理系统来检查现有版本并与所需最低标准对比 apt list --upgradable | grep tomcat yum check-update | grep tomcat ``` 此外,当项目依赖于 Spring Boot 内嵌式的 Tomcat 实例时,务必关注其自带组件是否存在类似 CVE-2020-1938 这样的历史遗留问题,并通过调整构建工具配置实现自动化的依赖项优化工作[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值