CVE - CVE-2023-28708 (mitre.org)
NVD - CVE-2023-28708 (nist.gov)
CVE-2023-28708 site:tomcat.apache.org - Google Search
当将 RemoteIpFilter 与通过 HTTP 从反向代理接收的请求一起使用时,包括设置为 https 的 X-Forwarded-Proto 标头,由 Apache Tomcat 11.0.0-M1 到 11.0.0.-M2、10.1.0-M1 到 10.1.5、9.0.0-M1 到 9.0.71 和 8.5.0 到 8.5.85 创建的会话 cookie 不包括安全属性。这可能会导致用户代理通过不安全的通道传输会话 Cookie。
解决方案:
[SECURITY] CVE-2023-28708 Apache Tomcat - Information Disclosure-Apache Mail Archives
建议受影响的用户及时更新升级到最新版本。
springboot版本的对应的内嵌tomcat版本查看
Maven Repository: org.springframework.boot » spring-boot-starter-tomcat (mvnrepository.com)
新项目当然用jdk17了,jdk21到今年9月份也要出来了,太新也不合适。
jdk17和21版本商用支持查看
Oracle Java SE 支持路线图
Tomcat对应支持的java版本等
Apache Tomcat® - Which Version Do I Want?
看看springboot最新正式版内嵌的tomcat版本,3.0以上的版本,最低要jdk17。
Spring Boot
从springboot2.1.0开始用的是tomcat9
Maven Repository: org.springframework.boot » spring-boot-starter-tomcat » 2.1.0.RELEASE (mvnrepository.com)
最低的2.0.0版本用的是tomcat8.5
Maven Repository: org.springframework.boot » spring-boot-starter-tomcat » 2.0.0.RELEASE (mvnrepository.com)
以后能选的tomcat版本其实也不多了,如果需要支持jdk1.8又要使用广泛,那肯定是springboot2.x最新版本内嵌的tomcat版本了,也就是9.0.x。当然如果遇到用9.0.x版本的项目的问题无法解决也可以用8.5.x无漏洞版本。文章来源:https://www.toymoban.com/news/detail-542014.html
tomcat爆漏洞也不是第一次了,近年来真的是各种技术漏洞频出。文章来源地址https://www.toymoban.com/news/detail-542014.html
到了这里,关于Apache Tomcat 最新信息泄露漏洞CVE-2023-28708详情及解决方案,springboot版本的对应的内嵌tomcat版本查看,tomcat相关。的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
