一、漏洞详情

Apache Tomcat是一个流行的开源Web服务器和Java代码的Servlet容器。

Apache发布安全公告，修复了Tomcat中的一个信息泄露漏洞（CVE-2023-34981）。Apache Tomcat多个受影响版本中，如果响应没有设置任何HTTP标头，则不会发送AJP SEND_HEADERS消息，这意味着至少有一个基于AJP的代理（mod_proxy_AJP）会将前一个请求的响应标头作为当前请求的响应标头，导致信息泄露。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache Tomcat 版本：11.0.0-M5

Apache Tomcat 版本：10.1.8

Apache Tomcat 版本：9.0.74

Apache Tomcat 版本：8.5.88

三、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache Tomcat版本：>=11.0.0-M6

Apache Tomcat版本：>=10.1.9

Apache Tomcat版本：>=9.0.75

Apache Tomcat版本：>=8.5.89

下载链接：https://tomcat.apache.org/