关于Apache Tomcat漏洞(CVE-2023-46589)

文雅科技术支持客服发表于:2023年12月20日 13:29:18更新于:2024年08月19日 10:17:42

产品:SVF、invoiceAgent(旧SPA)、Dr.Sum、MotionBoard

内容
Apache Tomcat 包含一个请求走私漏洞 (CVE-2023-46589)。由于Tomcat未能正确解析HTTP Trailer标头,超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求,从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制,未经授权访问敏感数据等。

【受漏洞影响的Tomcat版本】
     Apache Tomcat 11.0.0-M1 至 11.0.0-M10
     Apache Tomcat 10.1.0-M1 至 10.1.15
     Apache Tomcat 9.0.0-M1 至 9.0.82
     Apache Tomcat 8.5.0 至 8.5.95

SVF产品
以下产品和版本可能受到 CVE-2023-46589 的影响。
SVF Web Designer Ver.9.2 Service Pack 10※ 至 Ver.10.3
     SVF Java Products 系列 Ver.9.2 Service Pack 10※ 至 Ver.10.3
     Report Director Enterprise Ver.9.2 Service Pack 10※ 至 Ver.10.3
     Universal Connect/X Ver.9.2 Service Pack 10※ 至 Ver.10.3
※对于Ver.9.2 ServicePack 10 ,仅当Tomcat替换为Tomcat 8.5.83时会受到影响。

支持计划
     Ver.9.2:我们计划在 Ver.9.2 Service Pack 11 中更新 Tomcat 以解决此漏洞(发布日期2025/2/25)。
     Ver.10:Tomcat 已更新,在 Ver.10.3(2024/6/24发布)迁移工具中解决此漏洞。

InvoiceAgent(以前:SPA)产品
以下产品和版本可能受到 CVE-2023-46589 的影响。
     SPA Ver.9.3 Service Pack 6 至 Service Pack 11 ※Service Pack 6 至 Service Pack 8 仅影响 Document Converter
     InvoiceAgent 文档管理(以前称为 SPA)Ver.10.0 至 Ver.10.10

支持计划
     Ver.9.3:我们计划在 Ver.9.3 Service Pack 12(计划于 2024 年秋季或冬季左右发布)中更新 Tomcat 以解决此漏洞。
     Ver.10:在 Ver.10.10.1.1 中解决此漏洞( 2024/3/18发布)。 

Dr.Sum产品
以下产品和版本可能受到 CVE-2023-46589 的影响。
    Dr.Sum
        Data Funnel Ver.5.1 / 5.5 / 5.6
        Cloud Hub Server Ver.5.5 / 5.6
       TextOlap Ver.5.1
    Dr.Sum Datalizer Ver.5.0 / 5.1 / 5.5 / 5.6

支持计划
    Ver.5.7:
        Dr.Sum:于2024年春季发布的补丁(5.7.00.0010)中解决该问题。
        Dr.Sum Datalizer:在2024年2月29日发布的补丁(5.7.00.0010)中解决该问题。

    Ver.5.6:
        Dr.Sum:在2024年3月14日发布的 Dr.Sum Ver.5.6.00.1060 常规补丁中得到解决。
        Dr.Sum Datalizer:计划于 2024 年春季左右发布的 Dr.Sum Datalizer Ver. 5.6.00.2050 常规补丁将支持此功能。
※如果您使用的Dr.Sum版本早于Ver. 5.6,请考虑升级到Ver. 5.6或更高版本。

MotionBoard产品
以下产品和版本可能受到 CVE-2023-46589 的影响。
        MotionBoard Ver.6.0 / 6.1 / 6.2 / 6.3 / 6.4

支持计划
    Ver.6.0 至 Ver.6.4: 
       2024年1月31日,发布各版本的补丁包,需要获得补丁包的,请向技术支持提交课题
       咨询的标题请输入[关于Apache Tomcat漏洞(CVE-2023-46589)]。