Apache Tomcat 最新信息泄露漏洞CVE-2023-28708詳情及解決方案，springboot版本的對(duì)應(yīng)的內(nèi)嵌tomcat版本查看，tomcat相關(guān)。

2年前作者：熬夜的豬分類(lèi)：Toy博客閱讀(31)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Apache Tomcat 最新信息泄露漏洞CVE-2023-28708詳情及解決方案，springboot版本的對(duì)應(yīng)的內(nèi)嵌tomcat版本查看，tomcat相關(guān)。。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

CVE - CVE-2023-28708 (mitre.org)

NVD - CVE-2023-28708 (nist.gov)

CVE-2023-28708 site:tomcat.apache.org - Google Search

當(dāng)將 RemoteIpFilter 與通過(guò) HTTP 從反向代理接收的請(qǐng)求一起使用時(shí)，包括設(shè)置為 https 的 X-Forwarded-Proto 標(biāo)頭，由 Apache Tomcat 11.0.0-M1 到 11.0.0.-M2、10.1.0-M1 到 10.1.5、9.0.0-M1 到 9.0.71 和 8.5.0 到 8.5.85 創(chuàng)建的會(huì)話(huà) cookie 不包括安全屬性。這可能會(huì)導(dǎo)致用戶(hù)代理通過(guò)不安全的通道傳輸會(huì)話(huà) Cookie。

解決方案：

[SECURITY] CVE-2023-28708 Apache Tomcat - Information Disclosure-Apache Mail Archives

建議受影響的用戶(hù)及時(shí)更新升級(jí)到最新版本。

springboot版本的對(duì)應(yīng)的內(nèi)嵌tomcat版本查看

Maven Repository: org.springframework.boot ? spring-boot-starter-tomcat (mvnrepository.com)

新項(xiàng)目當(dāng)然用jdk17了，jdk21到今年9月份也要出來(lái)了，太新也不合適。

jdk17和21版本商用支持查看

Oracle Java SE 支持路線(xiàn)圖

Tomcat對(duì)應(yīng)支持的java版本等

Apache Tomcat? - Which Version Do I Want?

看看springboot最新正式版內(nèi)嵌的tomcat版本，3.0以上的版本，最低要jdk17。

Spring Boot

從springboot2.1.0開(kāi)始用的是tomcat9

Maven Repository: org.springframework.boot ? spring-boot-starter-tomcat ? 2.1.0.RELEASE (mvnrepository.com)

最低的2.0.0版本用的是tomcat8.5

Maven Repository: org.springframework.boot ? spring-boot-starter-tomcat ? 2.0.0.RELEASE (mvnrepository.com)

以后能選的tomcat版本其實(shí)也不多了，如果需要支持jdk1.8又要使用廣泛，那肯定是springboot2.x最新版本內(nèi)嵌的tomcat版本了，也就是9.0.x。當(dāng)然如果遇到用9.0.x版本的項(xiàng)目的問(wèn)題無(wú)法解決也可以用8.5.x無(wú)漏洞版本。

tomcat爆漏洞也不是第一次了，近年來(lái)真的是各種技術(shù)漏洞頻出。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-542014.html

到了這里，關(guān)于A(yíng)pache Tomcat 最新信息泄露漏洞CVE-2023-28708詳情及解決方案，springboot版本的對(duì)應(yīng)的內(nèi)嵌tomcat版本查看，tomcat相關(guān)。的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶(hù)投稿，該文觀(guān)點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

MinIO信息泄露漏洞(CVE-2023-28432)批量檢測(cè)POC
吸取上次復(fù)現(xiàn)漏洞的教訓(xùn)…… MinIO 是一種開(kāi)源對(duì)象存儲(chǔ)服務(wù)，與 Amazon S3 API 兼容，可用于私有云或公共云。MinIO是一種高性能、高可用的分布式存儲(chǔ)系統(tǒng)，可以存儲(chǔ)大量數(shù)據(jù)，并提供高速的數(shù)據(jù)讀寫(xiě)能力。MinIO采用分布式架構(gòu)，可以在多個(gè)節(jié)點(diǎn)上運(yùn)行，實(shí)現(xiàn)數(shù)據(jù)的分布式存儲(chǔ)
2023年04月20日
瀏覽(30)
Goby漏洞更新 | MinIO verify 接口敏感信息泄露漏洞（CVE-2023-28432）
Goby預(yù)置了最具攻擊效果的漏洞引擎，覆蓋Weblogic，Tomcat等最嚴(yán)重漏洞。每天從互聯(lián)網(wǎng)（如CVE）會(huì)產(chǎn)生大量的漏洞信息，我們篩選了會(huì)被用于真實(shí)攻擊的漏洞進(jìn)行每日更新。Goby也提供了可以自定義的漏洞檢查框架，發(fā)動(dòng)了互聯(lián)網(wǎng)的大量安全從業(yè)者貢獻(xiàn)POC，保證持續(xù)的應(yīng)急響應(yīng)能
2024年02月15日
瀏覽(26)
MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)
漏洞描述： MinIO 是一種開(kāi)源的對(duì)象存儲(chǔ)服務(wù)，它兼容 Amazon S3 API，可以在私有云或公有云中使用。MinIO 是一種高性能、高可用性的分布式存儲(chǔ)系統(tǒng)，它可以存儲(chǔ)大量數(shù)據(jù)，并提供對(duì)數(shù)據(jù)的高速讀寫(xiě)能力。MinIO 采用分布式架構(gòu)，可以在多個(gè)節(jié)點(diǎn)上運(yùn)行，從而實(shí)現(xiàn)數(shù)據(jù)的分布式存
2023年04月08日
瀏覽(35)
ICMP“EtherLeak”信息泄露漏洞(CVE-2017-2304) ICMP“EtherLeak”信息泄露漏洞(CVE-2021-3031)漏洞解決辦法
ICMP“EtherLeak”信息泄露漏洞(CVE-2017-2304) ICMP“EtherLeak”信息泄露漏洞(CVE-2021-3031) 漏洞解決辦法 ? ? ? ? ? ?
2024年02月12日
瀏覽(22)
漏洞修復(fù)---SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)
1.查看當(dāng)前openssl版本 ? ? ? 我線(xiàn)上版本是?? OpenSSL 1.0.2k-fips?26?Jan?2017 ?官網(wǎng)下載最新版本【當(dāng)前我下載的版本為 openssl-1.1.1q】 2.將壓縮包上傳到linux服務(wù)器 ? ? tar -zxvf?openssl-1.1.1q.tar.gz 3.編譯安裝 4.?移除老版本openssl 5. 查看版本 openssl version 報(bào)錯(cuò)? ? openssl: error while loadi
2024年02月16日
瀏覽(24)
解決漏洞：SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)
錯(cuò)誤詳情：解決方案 ?win2012R2解決辦法參考鏈接：Browse code samples | Microsoft Learn 下載該ps1的文件。下載該ps1的文件。首先運(yùn)行PowerShell后去文件夾中運(yùn)行，或者直接輸入 D:Solve-Sweet32.ps1 即可參考鏈接? SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)解決辦法（WindowsServer2012r2 3389端口）
2024年02月12日
瀏覽(24)
SSL/TLS 協(xié)議信息泄露漏洞(CVE-2016-2183)【原理掃描】
SSL/TLS協(xié)議 RC4信息泄露漏洞被掃描出來(lái)，一般出現(xiàn)的問(wèn)題在ssh和https服務(wù)上使用了DES、3DES算法，禁用這些算法就好了 1.使用nmap掃描出來(lái)： nmap -sV --script ssl-enum-ciphers -p 443 ip 2.使用綠盟掃描顯示CVE-2016-2183漏洞 apache： 1.禁止apache服務(wù)器使用RC4加密算法 2.重啟apache服務(wù) Nginx: 1.禁止
2024年02月09日
瀏覽(37)
服務(wù)器漏洞修復(fù)之SSL/TLS協(xié)議信息泄露漏洞(CVE-2016-2183)
風(fēng)險(xiǎn)描述遠(yuǎn)程主機(jī)支持在一個(gè)或多個(gè)密碼套件中使用 64 位塊的塊密碼。由于使用弱 64 位塊密碼,因而會(huì)受到一個(gè)稱(chēng)為 SWEET32 的漏洞影響。具有足夠資源的中間人攻擊者可利用此漏洞,通過(guò)“birthday”攻擊檢測(cè)會(huì)在固定密碼與已知純文本之間泄露 XOR 的沖突,進(jìn)而泄露密碼文本（例
2024年02月16日
瀏覽(36)
Apache Tomcat 安全漏洞(CVE-2020-13935)復(fù)現(xiàn)
漏洞詳情： Apache Tomcat是美國(guó)阿帕奇（Apache）軟件基金會(huì)的一款輕量級(jí)Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對(duì)Servlet和JavaServer Page（JSP）的支持。 Apache Tomcat中的WebSocket存在安全漏洞，該漏洞源于程序沒(méi)有正確驗(yàn)證payload的長(zhǎng)度。攻擊者可利用該漏洞造成拒絕服務(wù)（無(wú)限循環(huán)）。影響版
2024年02月11日
瀏覽(20)
CVE-2023-28708 原理剖析
這應(yīng)該不是一個(gè)嚴(yán)重的漏洞，可能評(píng)分只能為低，因?yàn)椴](méi)有什么卵用。話(huà)不多說(shuō)，直接進(jìn)入正題我的復(fù)現(xiàn)環(huán)境： tomcat-8.5.50 首先我們得簡(jiǎn)單寫(xiě)一個(gè)servlet，當(dāng)然不寫(xiě)也沒(méi)事，因?yàn)槲覀兊姆治龅讲涣颂幚韘ervlet這一步，只用tomcat默認(rèn)提供的ROOT就行首先我們需要在web.xml中注冊(cè)
2024年02月09日
瀏覽(17)