关于 Apache Tomcat 漏洞(CVE-2023-45648、CVE-2023-44487、CVE-2023-42795、CVE-2023-42794 )

文雅科技术支持客服发表于:2023年12月12日 10:17:53更新于:2024年03月14日 08:30:49

产品: SVF、invoiceAgent(本地版)/SPA、Dr.Sum、MotionBoard

内容
Apache Software Foundation 提供的 Apache Tomcat 中发现了多个漏洞。

    HTTP Trailer header不能正常解析的问题 - CVE-2023-45648
    Tomcat HTTP/2 快速重置攻击拒绝服务漏洞 - CVE-2023-44487
    Tomcat信息泄露漏洞 - CVE-2023-42795
    Apache Tomcat拒绝服务漏洞 - CVE-2023-42794

【涉及到的Tomcat版本】
    CVE-2023-45648、CVE-2023-44487、CVE-2023-42795
    Apache Tomcat 11.0.0-M1 - 11.0.0-M11
    Apache Tomcat 10.1.0-M1 - 10.1.13
    Apache Tomcat 9.0.0-M1 - 9.0.80
    Apache Tomcat 8.5.0 - 8.5.93

    CVE-2023-42794
    Apache Tomcat 9.0.70 - 9.0.80
    Apache Tomcat 8.5.85 - 8.5.93

参考资料
    https://it.sohu.com/a/728075701_121124359

SVF产品
    SVF系列产品,不受该漏洞影响。

invoiceAgent(原:SPA)产品
影响范围
下面的版本,可能会受到CVE-2023-45648 和 CVE-2023-42795 的影响。
    SPA Ver.9.3 Service Pack 6 ~ Service Pack 10 ※Service Pack 6 至 Service Pack 8 仅影响 Document Converter
    invoiceAgent Documents(原:SPA) Ver.10.0 ~ Ver.10.1

对应计划
    Ver.9.3:请更新至Ver.9.3 Service Pack 11。 *更新于2023年11月30日
    Ver.10:我们计划在 Ver.10.10.1 中更新 Tomcat 以解决此漏洞(计划于 2024 年3月18日发布)。 相关补丁将于 2024年 1 月中旬左右发布。

Dr.Sum产品
影响范围
下面的版本,可能会受到 CVE-2023-45648 和 CVE-2023-42795 的影响。
    Dr.Sum 
        Data Funnel Ver. 5.1 / 5.5 / 5.6
        Cloud Hub Server Ver. 5.5 / 5.6
        TextOlap Ver. 5.1
        Dr.Sum Datalizer Ver. 5.0 / 5.1 / 5.5 / 5.6

对应计划
    Ver. 5.7:
        已经解决此漏洞。
    Ver. 5.6:
         Dr.Sum:在2024年3月14日发布的 Dr.Sum Ver.5.6.00.1060 常规补丁中得到解决。
        Dr.Sum Datalizer:计划于 2024 年春季左右发布的 Dr.Sum Datalizer Ver. 5.6.00.2050 常规补丁将支持此功能。
        ※如果您使用的Dr.Sum版本低于Ver. 5.6,请考虑升级到Ver. 5.6或更高版本。

MotionBoard製品
影响范围
下面的版本,可能会受到 CVE-2023-45648 和 CVE-2023-42795 的影响。
MotionBoard Ver.6.0 / 6.1 / 6.2 / 6.3 / 6.4

解决方法
    请下载下面的补丁包。
        tomcat_8_5_95_patch.zip (9.83MB)

下载最新补丁后,请按照以下步骤操作。
     停止 MotionBoard 服务。
     将“MotionBoard安装目录/system/tomcat”复制到任意位置并备份。
     解压缩“tomcat_8_5_95_patch.zip”。
     将“tomcat_8_5_95_patch/lib”覆盖到“MotionBoard 安装目录/system/tomcat/lib”。
     将“tomcat_8_5_95_patch/conf”覆盖到“MotionBoard 安装目录/system/tomcat/conf”。
     将“tomcat_8_5_95_patch/bin”覆盖到“MotionBoard 安装目录/system/tomcat/bin”。
     将“tomcat_8_5_95”正下方的文件覆盖为“MotionBoard 安装目录/system/tomcat”正下方的文件。
     启动 MotionBoard 服务。

※应用此补丁后,如果您在MotionBoard URL中设置包含多字节字符的键名参数,则会显示空白页面,并且您将无法登录MotionBoard。
    示例:http://localhost:8787/motionboard/main?dv-年=2023
我们计划在 MotionBoard 6.4 的下一个补丁中修复此问题(计划于 2024 年 1 月底左右发布)。
如果您在6.3之前的版本中配置过上述设置,请考虑升级到6.4。












    最多浏览的文档