CVE – CVE-2023-28708 (mitre.org)
NVD – CVE-2023-28708 (nist.gov)
CVE-2023-28708 site:tomcat.apache.org – Google Search
当将 RemoteIpFilter 与通过 HTTP 从反向代理接收的请求一起使用时,包括设置为 https 的 X-Forwarded-Proto 标头,由 Apache Tomcat 11.0.0-M1 到 11.0.0.-M2、10.1.0-M1 到 10.1.5、9.0.0-M1 到 9.0.71 和 8.5.0 到 8.5.85 创建的会话 cookie 不包括安全属性。这可能会导致用户代理通过不安全的通道传输会话 Cookie。
解决方案:
[SECURITY] CVE-2023-28708 Apache Tomcat – Information Disclosure-Apache Mail Archives
springboot版本的对应的内嵌tomcat版本查看
Maven Repository: org.springframework.boot » spring-boot-starter-tomcat (mvnrepository.com)
新项目当然用jdk17了,jdk21到今年9月份也要出来了,太新也不合适。
Apache Tomcat® – Which Version Do I Want?
看看springboot最新正式版内嵌的tomcat版本,3.0以上的版本,最低要jdk17。
从springboot2.1.0开始用的是tomcat9
最低的2.0.0版本用的是tomcat8.5
以后能选的tomcat版本其实也不多了,如果需要支持jdk1.8又要使用广泛,那肯定是springboot2.x最新版本内嵌的tomcat版本了,也就是9.0.x。当然如果遇到用9.0.x版本的项目的问题无法解决也可以用8.5.x无漏洞版本。
tomcat爆漏洞也不是第一次了,近年来真的是各种技术漏洞频出。
原文地址:https://blog.csdn.net/CJ_L1995/article/details/130777310
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.7code.cn/show_9427.html
如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱:suwngjj01@126.com进行投诉反馈,一经查实,立即删除!
