Apache Tomcat 最新信息泄露漏洞CVE-2023-28708详情及解决方案，springboot版本的对应的内嵌tomcat版本查看，tomcat相关。

CVE – CVE-2023-28708 (mitre.org)

NVD – CVE-2023-28708 (nist.gov)

CVE-2023-28708 site:tomcat.apache.org – Google Search

当将 RemoteIpFilter 与通过 HTTP 从反向代理接收的请求一起使用时，包括设置为 https 的 X-Forwarded-Proto 标头，由 Apache Tomcat 11.0.0-M1 到 11.0.0.-M2、10.1.0-M1 到 10.1.5、9.0.0-M1 到 9.0.71 和 8.5.0 到 8.5.85 创建的会话 cookie 不包括安全属性。这可能会导致用户代理通过不安全的通道传输会话 Cookie。

解决方案：

[SECURITY] CVE-2023-28708 Apache Tomcat – Information Disclosure-Apache Mail Archives

建议受影响的用户及时更新升级到最新版本。

springboot版本的对应的内嵌tomcat版本查看

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat (mvnrepository.com)

新项目当然用jdk17了，jdk21到今年9月份也要出来了，太新也不合适。

jdk17和21版本商用支持查看

Oracle Java SE 支持路线图

Tomcat对应支持的java版本等

Apache Tomcat® – Which Version Do I Want?

看看springboot最新正式版内嵌的tomcat版本，3.0以上的版本，最低要jdk17。

Spring Boot

从springboot2.1.0开始用的是tomcat9

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat » 2.1.0.RELEASE (mvnrepository.com)

最低的2.0.0版本用的是tomcat8.5

Maven Repository: org.springframework.boot » spring-boot-starter-tomcat » 2.0.0.RELEASE (mvnrepository.com)

以后能选的tomcat版本其实也不多了，如果需要支持jdk1.8又要使用广泛，那肯定是springboot2.x最新版本内嵌的tomcat版本了，也就是9.0.x。当然如果遇到用9.0.x版本的项目的问题无法解决也可以用8.5.x无漏洞版本。

tomcat爆漏洞也不是第一次了，近年来真的是各种技术漏洞频出。

代码007普通

打赏 收藏 海报 链接