产品：SVF、invoiceAgent（旧SPA）、Dr.Sum、MotionBoard

内容
Apache Tomcat 包含一个请求走私漏洞 (CVE-2023-46589)。由于Tomcat未能正确解析HTTP Trailer标头，超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求，从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制，未经授权访问敏感数据等。

【受漏洞影响的Tomcat版本】
     Apache Tomcat 11.0.0-M1 至 11.0.0-M10
     Apache Tomcat 10.1.0-M1 至 10.1.15
     Apache Tomcat 9.0.0-M1 至 9.0.82
     Apache Tomcat 8.5.0 至 8.5.95

SVF产品
以下产品和版本可能受到 CVE-2023-46589 的影响。
SVF Web Designer Ver.9.2 Service Pack 10※ 至 Ver.10.3
     SVF Java Products 系列 Ver.9.2 Service Pack 10※ 至 Ver.10.3
     Report Director Enterprise Ver.9.2 Service Pack 10※ 至 Ver.10.3
     Universal Connect/X Ver.9.2 Service Pack 10※ 至 Ver.10.3
※对于Ver.9.2 ServicePack 10 ，仅当Tomcat替换为Tomcat 8.5.83时会受到影响。

支持计划
     Ver.9.2：我们计划在 Ver.9.2 Service Pack 11 中更新 Tomcat 以解决此漏洞（发布日期2025/2/25）。
     Ver.10：Tomcat 已更新，在 Ver.10.3（2024/6/24发布）迁移工具中解决此漏洞。

InvoiceAgent（以前：SPA）产品
以下产品和版本可能受到 CVE-2023-46589 的影响。
     SPA Ver.9.3 Service Pack 6 至 Service Pack 11 ※Service Pack 6 至 Service Pack 8 仅影响 Document Converter
     InvoiceAgent 文档管理（以前称为 SPA）Ver.10.0 至 Ver.10.10

支持计划
     Ver.9.3：我们计划在 Ver.9.3 Service Pack 12（计划于 2024 年秋季或冬季左右发布）中更新 Tomcat 以解决此漏洞。
     Ver.10：在 Ver.10.10.1.1 中解决此漏洞（ 2024/3/18发布）。 

Dr.Sum产品
以下产品和版本可能受到 CVE-2023-46589 的影响。
    Dr.Sum
        Data Funnel Ver.5.1 / 5.5 / 5.6
        Cloud Hub Server Ver.5.5 / 5.6
       TextOlap Ver.5.1
    Dr.Sum Datalizer Ver.5.0 / 5.1 / 5.5 / 5.6

支持计划
    Ver.5.7：
        Dr.Sum：于2024年春季发布的补丁（5.7.00.0010）中解决该问题。
        Dr.Sum Datalizer：在2024年2月29日发布的补丁（5.7.00.0010）中解决该问题。

    Ver.5.6：
        Dr.Sum：在2024年3月14日发布的 Dr.Sum Ver.5.6.00.1060 常规补丁中得到解决。
        Dr.Sum Datalizer：计划于 2024 年春季左右发布的 Dr.Sum Datalizer Ver. 5.6.00.2050 常规补丁将支持此功能。
※如果您使用的Dr.Sum版本早于Ver. 5.6，请考虑升级到Ver. 5.6或更高版本。

MotionBoard产品
以下产品和版本可能受到 CVE-2023-46589 的影响。
        MotionBoard Ver.6.0 / 6.1 / 6.2 / 6.3 / 6.4

支持计划
    Ver.6.0 至 Ver.6.4： 
       2024年1月31日，发布各版本的补丁包，需要获得补丁包的，请向技术支持提交课题。
       咨询的标题请输入[关于Apache Tomcat漏洞（CVE-2023-46589）]。