关于Apache Tomcat信息泄露漏洞(CVE-2023-34981)的预警提示

发布时间: 2023-07-04      访问次数: 549

一、漏洞详情

Apache Tomcat是一个流行的开源Web服务器和Java代码的Servlet容器。

Apache发布安全公告,修复了Tomcat中的一个信息泄露漏洞(CVE-2023-34981)。Apache Tomcat多个受影响版本中,如果响应没有设置任何HTTP标头,则不会发送AJP SEND_HEADERS消息,这意味着至少有一个基于AJP的代理(mod_proxy_AJP)会将前一个请求的响应标头作为当前请求的响应标头,导致信息泄露。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apache Tomcat 版本:11.0.0-M5

Apache Tomcat 版本:10.1.8

Apache Tomcat 版本:9.0.74

Apache Tomcat 版本:8.5.88

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache Tomcat版本:>=11.0.0-M6

Apache Tomcat版本:>=10.1.9

Apache Tomcat版本:>=9.0.75

Apache Tomcat版本:>=8.5.89

下载链接:https://tomcat.apache.org/