Apache Tomcat 最新信息泄露漏洞CVE-2023-28708详情及解决方案,springboot版本的对应的内嵌tomcat版本查看,tomcat相关。

最新推荐文章于 2024-06-17 10:24:42 发布
最新推荐文章于 2024-06-17 10:24:42 发布
阅读量3.8k 收藏 1
点赞数
文章标签: tomcat spring boot java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CJ_L1995/article/details/130777310
版权

CVE - CVE-2023-28708 (mitre.org)

NVD - CVE-2023-28708 (nist.gov)

CVE-2023-28708 site:tomcat.apache.org - Google Search

当将 RemoteIpFilter 与通过 HTTP 从反向代理接收的请求一起使用时,包括设置为 https 的 X-Forwarded-Proto 标头,由 Apache Tomcat 11.0.0-M1 到 11.0.0.-M2、10.1.0-M1 到 10.1.5、9.0.0-M1 到 9.0.71 和 8.5.0 到 8.5.85 创建的会话 cookie 不包括安全属性。这可能会导致用户代理通过不安全的通道传输会话 Cookie。

解决方案:

[SECURITY] CVE-2023-28708 Apache Tomcat - Information Disclosure-Apache Mail Archives

建议受影响的用户及时更新升级到最新版本

springboot版本的对应的内嵌tomcat版本查看

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat (mvnrepository.com)

新项目当然用jdk17了,jdk21到今年9月份也要出来了,太新也不合适。

jdk17和21版本商用支持查看

Oracle Java SE 支持路线图

Tomcat对应支持的java版本等

Apache Tomcat® - Which Version Do I Want?

看看springboot最新正式版内嵌的tomcat版本,3.0以上的版本,最低要jdk17。

Spring Boot

从springboot2.1.0开始用的是tomcat9

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat » 2.1.0.RELEASE (mvnrepository.com)

最低的2.0.0版本用的是tomcat8.5

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat » 2.0.0.RELEASE (mvnrepository.com)

以后能选的tomcat版本其实也不多了,如果需要支持jdk1.8又要使用广泛,那肯定是springboot2.x最新版本内嵌的tomcat版本了,也就是9.0.x。当然如果遇到用9.0.x版本的项目的问题无法解决也可以用8.5.x无漏洞版本。

tomcat爆漏洞也不是第一次了,近年来真的是各种技术漏洞频出。

熬夜的猪
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
压缩包中含有详细的文档说明、操作指南以及所需要的附件。本作者亲自验证有效。如果有问题,请联系作者QQ。
Apache Tomcat RemoteIpFilter cookie 处理不当(CVE-2023-28708
murphysec的博客
03-23 1008
Apache Tomcat 是一款开源的 Web 应用服务器,RemoteIpFilter 是一个过滤器,用于将 HTTP 请求中代理服务器的 IP 地址替换为客户端的真实 IP 地址。 受影响版本中,当使用 RemoteIpFilter 处理通过 HTTP 从反向代理接收到的请求时,如果请求头中包含设置为 https 的 X-Forwarded-Proto 字段,Tomcat 创建的会话 cookie 将不包括 secure 属性,攻击者可能通过中间人攻击获取用户 cookie,从而使用受害者身份执行恶
中间件安全Tomcat常见漏洞
最新发布
cc123489ll的博客
06-17 1162
链接。
漏洞预警|Apache Tomcat 信息泄露漏洞
LJQClqjc的博客
03-28 1190
TomcatApache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费。成为目前比较流行的Web 应用服务器。
Apache Tomcat 信息泄露漏洞CVE-2023-28708处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-10 6415
那么Tomcat就会删除之前的War包解压的文件夹,重新解压新的War包。导致信息泄露相关分析这是由于在请求https的时候可重定向到http连接,这个过程会导致会话劫持风险,造成Cookie或Session不安全传输,攻击者可利用该漏洞可在未授权的情况下泄漏 Cookie 或 Session,最终造成服务器敏感性信息泄露。改变,包括web-inf/class,wen-inf/lib,web-inf/web.xml等文件,若发生更改,则局部进行加载,不清空session ,不释放内存。
CVE-2023-28708 原理剖析
Armandhe的博客
03-26 3482
CVE-2023-28708 原理剖析
SpringBoot集成Tomcat服务
BASK2311的博客
02-21 3632
SpringBoot框架的web依赖包中,引入的是内嵌Tomcat组件,基于SpringBoot版本Tomcat集成的是9.0版本
查看和指定SpringBoot内嵌Tomcat版本
hills的专栏
05-19 5195
查看和指定SpringBoot内嵌Tomcat版本
SpringBoot系列(二)指定内置tomcat版本
m0_67390379的博客
04-26 4830
简言 SpringBoot内置的tomcat版本是随着SpringBoot版本走的,比如我这SpringBoot 版本是1.5.9,内置tomcat版本是8.5.23;假如需要修改内置的tomcat版本号,则在POM依赖里< properties >里添加< tomcat.version>8.0.42< /tomcat.version> 注意:我上面标签是有空格的; <properties> <tomcat.version>8.0.42
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
05-05
Apache CouchDB 信息泄露漏洞(CVE-2023-26268)的解决方案包括: 1. 官方修复建议:升级到安全版本。 2. 深信服解决方案:风险资产发现和漏洞主动检测。 Apache CouchDB 信息泄露漏洞(CVE-2023-26268)的影响范围...
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
jboss4版本修复Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439)升级包
04-25
jboss4版本下,jbossweb-tomcat55.sar升级包,修复Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439) 升级包中的jar来源于tomcat5.5.36 使用方法:直接替换jboss中旧的jbossweb-tomcat55.sar
springboot-内嵌tomcat版本查看
startyangu的博客
02-15 340
https://www.bbsmax.com/A/obzb7VMBJE/
指定SpringBoot内嵌Tomcat版本,修复(CVE-2021-42340)漏洞
zzhongcy的专栏
11-15 1万+
1、查看当前使用的Tomcat版本号 1.1、Maven Repository中查看 比如我们需要查Spring Boot 2.3.12.RELEASE 的内嵌Tomcat版本, 可以打开链接: https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-parent/2.3.12.RELEASE 如下图, 红框标记的就是tomcat版本。 1.2、查看depen...
springboot查看内嵌tomcat版本,重新指定版本
m0_67393413的博客
03-23 1665
从以下网址: https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-tomcat/1.5.17.RELEASE 可以看到对应内嵌版本为8.5.34。 现在我升级到8.5.51: 1.pom.xml 配置properties <properties> <tomcat.version>8.5.51</tomcat.version> </prope
springboot内嵌Tomcat 安全漏洞修复
一个程序员的专栏
03-02 3708
内嵌tomcat升级版本
springboot修改内置tomcat版本,修复Tomcat 信息泄露漏洞(CVE-2021-24122)和不安全的反序列、拒绝服务攻击等漏洞
雁来南风起,东去春归来
07-28 4331
原来自己用的springboot版本是2.1.13.RELEASE,其内置tomcat版本是9.0.31,漏洞扫描时会有如题等漏洞,并提示将Tomcat升级到8.5.56、9.0.36、10.0.0-M6及以上版本,下载地址http//archive.apache.org/dist/tomcat/2、排除spring-boot-starter-web中的内置spring-boot-starter-tomcat。我的项目结构如下,里面的web、data是两个独立的项目。...
SpringBoot修改内置tomcat版本
热门推荐
今天又是充满希望的一天
05-04 2万+
前言:生产环境使用的外部部署Tomcat还是内置Tomcat由于版本安全漏洞,往往需要升级到指定的安全版本。本文演示一下SpringBoot升级内置的Tomcat的内置版本。 一、查看当前SpringBoot内置Tomcat版本信息.【本文SpringBoot版本为2.3.4.RELEASE】 1、查看SpringBoot的启动项目版本. spring-boot-starter-web依赖spring-boot-starter-tomcat. tomcat-embed-....
Apache Tomcat文件包含漏洞(CVE-2020-1938)
09-11
嗨!对于Apache Tomcat文件包含漏洞(CVE-2020-1938),该漏洞是在2020年2月份公开的,影响Tomcat 9.0.0.M1至9.0.30以及8.5.0至8.5.50版本。该漏洞允许攻击者通过发送特制的请求来执行任意文件的读取和包含。 该漏洞的根本原因在于Tomcat的处理器组件(Servlet、WebSocket等)对于路径参数错误地解析了请求。攻击者可以利用这一点来读取或包含Web应用程序中的敏感文件,甚至可能在服务器上执行恶意代码。 由于该漏洞的危害性较高,建议及时升级到Tomcat 9.0.31或8.5.51版本,这些版本修复了该漏洞。此外,如果无法立即升级,你可以考虑使用防火墙或其他网络安全设备来限制对Tomcat端口的访问,从而减轻潜在攻击的风险。 记住,定期更新和维护所有软件和库是保持系统安全的重要措施之一。同时,合理配置服务器和应用程序,限制访问权限,并进行网络安全审计也是必要的。如果你是Tomcat用户,请务必关注并采取适当的措施来保护你的系统免受该漏洞的影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值