Apache Tomcat 信息泄露漏洞
漏洞描述
Apache Tomcat是一个开源Java Servlet容器和Web服务器,用于运行Java应用程序和动态网页。Coyote是Tomcat的连接器,处理来自客户端的请求并将它们传递给Tomcat引擎进行处理。
在受影响的版本中,Coyote.Http11InputBuffer.fill在抛出CloseNowException异常后没有重置缓冲区的position和limit,导致服务端可能可以获取另一个用户的请求数据。攻击者可以通过构造特定请求,在异常页面中输出其他请求的 body 数据。
修复版本中通过增加finally代码块,保证默认会重设缓冲区position和 limit到一致的状态。
| 漏洞名称 | Apache Tomcat 信息泄露漏洞 |
|---|---|
| 漏洞类型 | 通过错误消息导致的信息暴露 |
| 发现时间 | 2024-01-19 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-9yx0-38v1 |
| CVE编号 | CVE-2024-21733 |
| CNVD编号 | - |
影响范围
tomcat@[9.0.0-M11, 9.0.44)
tomcat@[8.5.7, 8.5.64)
org.apache.tomcat:tomcat-coyote@[8.5.7, 8.5.64)
org.apache.tomcat:tomcat-coyote@[9.0.0-M11, 9.0.44)
org.apache.tomcat.embed:tomcat-embed-core@[8.5.7, 8.5.64)
org.apache.tomcat.embed:tomcat-embed-core@[9.0.0-M11, 9.0.44)
org.apache.tomcat:tomcat-catalina@[8.5.7, 8.5.64)
org.apache.tomcat:tomcat-catalina@[9.0.0-M11, 9.0.44)
tomcat9@(-∞, 9.0.53-1)
修复方案
将组件 org.apache.tomcat.embed:tomcat-embed-core 升级至 9.0.44 及以上版本
将组件 tomcat9 升级至 9.0.53-1 及以上版本
将组件 org.apache.tomcat:tomcat-catalina 升级至 9.0.44 及以上版本
将组件 tomcat 升级至 9.0.44 及以上版本
将组件 tomcat 升级至 8.5.64 及以上版本
将组件 org.apache.tomcat:tomcat-coyote 升级至 8.5.64 及以上版本
将组件 org.apache.tomcat:tomcat-coyote 升级至 9.0.44 及以上版本
将 rg.apache.tomcat:tomcat-core 升级至 8.5.64 及以上版本
将组件 org.apache.tomcat:tomcat-catalina 升级至 8.5.64 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-9yx0-38v1
https://nvd.nist.gov/vuln/detail/CVE-2024-21733
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Docker 25.0.0 发布
Docker 25.0.0 现已发布,具体更新内容如下: New 添加 OpenTelemetry 跟踪。moby/moby#45652,moby/moby#45579 添加对 Linux 下 CDI 设备的支持。moby/moby#45134,docker/cli#4510,moby/moby#46004 添加一个额外的时间间隔,供容器启动期间运行状况检查使用。moby/moby#40894,docker/cli#4405,moby/moby#45965 为dockerd添加一个--log-format标志,来控制日志记录格式:文本(默认)或 JSON。moby/moby#45737 添加对递归只读挂载的支持。moby/moby#45278,moby/moby#46037 添加使用docker image ls --filter=until=<timestamp>对基于时间戳过滤 images 的支持。moby/moby#46577 Bug fixes and enhancements API:修复ValidateRestartPolicy无效策略的错误消息。moby/m...
- 下一篇
每日一博 | 得物云原生容器技术探索与落地实践
一、前言 得物 App 作为互联网行业的后起之秀,在快速的业务发展过程中基础设施规模不断增长,继而对效率和成本的关注度也越来越高。我们在云原生技术上的推进历程如图所示,整体上节奏还是比较快的。 从 2021 年 8 月开始,我们以提升资源使用率和资源交付效率为目标,开始基于云原生技术建设整个服务体系的高可用性、可观测性和高运维效率,同时要保证成本可控。在容器化过程中我们遇到了很多的挑战,包括:如何将存量的服务在保持已有研发流程不变的情况下,做到容器化部署和管理;容器化之后如何做到高效地运维;如何针对不同的业务场景,提供不同的容器化方案等等。此外,通过技术手段实现持续的成本优化是我们的长期目标,我们先后建设落地了画像系统、混部方案和调度优化等方案。本文把得物在推进云原生容器技术落地过程中相关方案和实践做一些总结和梳理,欢迎阅读和交流。 二、云原生应用管理 云原生应用管理方式 容器与 ECS 的资源形态是有差异的,所以会造成在管理流程上也会有不同之处。但是为了尽可能降低容器化带来的使用体验上的差异,我们参考业内容器应用 OAM 模型的设计模式,对容器的相关概念做了屏蔽和对等解释。例如:以“...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- CentOS8编译安装MySQL8.0.19
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS8安装Docker,最新的服务器搭配容器使用
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS7,CentOS8安装Elasticsearch6.8.6
微信收款码
支付宝收款码