安全通告

Apache Tomcat 存在信息泄露漏洞预警通告

发布日期：2024-1-25

漏洞描述

2024年1月25日公司监测到Apache Tomcat 信息泄露漏洞（CVE-2024-21733）情报。Apache Tomcat 是一个开源 Java Servlet 容器和 Web 服务器，用于运行 Java 应用程序和动态网页。Coyote 是 Tomcat 的连接器，处理来自客户端的请求并将它们传递Tomcat 引擎进行处理。攻击者可以通过构造特定请求，在异常页面中输出其他请求的body 数据,修复版本中通过增加 finally 代码块,保证默认会重设缓冲区 position 和 limit 到一致的状态，从而造成信息泄露。

漏洞编号

CVE-2024-21733

漏洞危害

攻击者可以通过构造特定请求，在异常页面中输出其他请求的body 数据,修复版本中通过增加 finally 代码块,保证默认会重设缓冲区 position 和 limit 到一致的状态，从而造成信息泄露。

漏洞等级

高危
受影响版本

tomcat[9.0.0-M11, 9.0.44)

tomcat[8.5.7, 8.5.64)

org.apache.tomcat:tomcat-coyote[8.5.7, 8.5.64)

org.apache.tomcat:tomcat-coyote[9.0.0-M11, 9.0.44)

org.apache.tomcat.embed:tomcat-embed-core[8.5.7, 8.5.64)

org.apache.tomcat.embed:tomcat-embed-core[9.0.0-M11, 9.0.44)

org.apache.tomcat:tomcat-catalina[8.5.7, 8.5.64)

org.apache.tomcat:tomcat-catalina[9.0.0-M11, 9.0.44)

tomcat9(-∞, 9.0.53-1)

修复方案

更新 Apache Tomcat 至安全版本：

https://tomcat.apache.org/index.html

参考链接

https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz

https://github.com/apache/tomcat/commit/86ccc43940861703c2be96a5f35384407522125a