Apache Tomcat官网发布了两个最新的 Tomcat 版本包,分别是:8.5.97(适配JDK1.7+)、9.0.84(适配JDK1.8+),建议下载安装最新版本以修复漏洞。
这两个最新版本修复了多个漏洞,统计信息如下表所示。有关漏洞的详细信息,请查阅官方相关文档(见:参考)。
严重等级 | 漏洞说明 | CVE-ID | 受影响版本 |
重要 | 请求走私 | CVE-2023-45648 CVE-2023-46589* | 8.5.0 to 8.5.95 9.0.0-M1 to 9.0.82 |
重要 | 拒绝服务 | CVE-2023-44487 | 8.5.0 to 8.5.93 9.0.0-M1 to 9.0.80 |
重要 | 信息泄漏 | CVE-2023-42795 | 8.5.0 to 8.5.93 9.0.0-M1 to 9.0.80 |
低 | 拒绝服务 | CVE-2023-42794 | 8.5.85 to 8.5.93 9.0.70 to 9.0.80 |
参考:
https://tomcat.apache.org/whichversion.html
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81