Apache Tomcat 信息泄露漏洞
日期:2023-03-23 14:51:57 发布人:信息化建设中心 浏览量:494
漏洞介绍
当使用RemoteIpFilter接受携带X-Forwarded-Proto请求头的通过反向代理的HTTP协议被设置为HTTPS时,Tomcat 创建的会话 cookie 不包括安全属性。这可能会导致用户代理将Cookie或Session通过不安全的隧道传输
组件介绍
Apache Tomcat软件是Jakarta Servlet、 Jakarta Server Pages、 Jakarta Expression Language、 Jakarta WebSocket、 Jakarta Annotations和 Jakarta Authentication 规范的开源实现 。这些规范是 Jakarta EE 平台的一部分。
影响版本
11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M2
10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.5
9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.71
8.5.0 ≤ Apache Tomcat ≤ 8.5.85
组件官方解决方案
目前厂商已发布修复漏洞的最新版本,请及时下载安装安全版本