ApacheTomcat的多个版本存在一个重要的安全问题,当通过HTTP反向代理接收请求并包含X-Forwarded-Proto头设置为https时,会话cookie未标记为secure,可能导致在不安全通道中传输。影响版本包括11.0.0-M1至11.0.0-M2、10.1.0-M1至10.1.5、9.0.0-M1至9.0.71及8.5.0至8.5.85。已发布安全更新修复此问题,受影响用户应升级到推荐的最新版本。
官方原文对于该漏洞的描述:
When using the RemoteIpFilter with requests received from a reverse proxy via HTTP that include the X-Forwarded-Proto header set to https, session cookies created by Apache Tomcat 11.0.0-M1 to 11.0.0.-M2, 10.1.0-M1 to 10.1.5, 9.0.0-M1 to 9.0.71 and 8.5.0 to 8.5.85 did not include the secure attribute. This could result in the user agent transmitting the session cookie over an insecure channel.
翻译如下:
当RemoteIpFilter和HTTP反向代理一起使用时,如果请求中包含设置为https的X-Forwarded-Proto标头,则11.0.0-M1 到 11.0.0.-M2, 10.1.0-M1 到 10.1.5, 9.0.0-M1 到 9.0.71以及 8.5.0 版本 8.5.85版本的 Tomcat 所创建的会话cookie未包括secure属性,可能导致用户代理通过不安全的通道传输会话cookie,造成敏感信息泄露。
CVE-ID:
CVE-2023-28708
风险等级:
Important
受影响版本:
- Apache Tomcat 11.0.0-M1 ~ 11.0.0-M2
- Apache Tomcat 10.1.0-M1 ~ 10.1.5
- Apache Tomcat 9.0.0-M1 ~ 9.0.71
- Apache Tomcat 8.5.0 ~ 8.5.85
安全版本:
- Apache Tomcat 8.5.86 +(最新正式版本:8.5.89)
- Apache Tomcat 9.0.72 +(最新正式版本:9.0.75)
- Apache Tomcat 10.1.6 +(最新正式版本:10.1.9)
Apache Tomcat 11.0.0-M3(最新测试版本:11.0.0-M6)---注意,11.x 版本目前还是alpha测试版,不要在生产环境上使用!
参考:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28708
https://tomcat.apache.org/security.html
扫一扫
5544
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
