漏洞背景

近日，嘉诚安全监测到Apache Tomcat信息泄露漏洞的安全风险通告，漏洞编号：CVE-2023-34981。

Apache Tomcat是一个流行的开源Web服务器和Java代码的Servlet容器。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞。Apache Tomcat多个受影响版本中，如果响应没有设置任何HTTP标头，则不会发送AJP SEND_HEADERS消息，这意味着至少有一个基于AJP的代理（mod_proxy_AJP）会将前一个请求的响应标头作为当前请求的响应标头，导致信息泄露。

危害影响

影响版本：

Apache Tomcat 版本：11.0.0-M5

Apache Tomcat 版本：10.1.8

Apache Tomcat 版本：9.0.74

Apache Tomcat 版本：8.5.88

修复建议

根据影响版本中的信息，建议相关用户尽快更新至安全版本：

Apache Tomcat版本：>=11.0.0-M6

Apache Tomcat版本：>=10.1.9

Apache Tomcat版本：>=9.0.75

Apache Tomcat版本：>=8.5.89

下载链接请参考：

https://tomcat.apache.org/