首页 > 安全公告 > 正文

关于Apache Tomcat JK Connector信息泄露漏洞(CVE-2023-41081)的安全公告

来源:时间:2023-09-19点击数:

大工网安告[2023]029

一、情况分析

mod_jk(也称为JK)是Apache服务器和Tomcat应用服务器之间的一个连接器,用于在两者之间传递请求和响应。

漏洞详情

在某些情况下(如当配置包括JkOptions+ForwardDirectories),但该配置没有为所有可能的代理请求提供显式挂载时,mod_jk会使用隐式映射并将请求映射到第一个定义的Worker。这种隐式映射可能会导致状态Worker意外暴露,或绕过httpd中配置的安全限制。

二、影响范围

1.2.0 <=Apache Tomcat JK Connector<=1.2.48

三、处置方法

官方补丁

官方已修复该漏洞,为避免用户遭受到其他漏洞影响,建议用户更新到安全版本。
  安全版本 Apache Tomcat JK Connector>= 1.2.49

参考链接

https://tomcat.apache.org/download-connectors.cgi


上一条:关于Google Chrome 堆溢出漏洞(CVE-2023-4863)的安全公告 下一条:关于Apache Superset 后台远程代码执行漏洞(CVE-2023-37941)的安全公告

地址:大连市甘井子区凌工路2号,大连理工大学 邮编:116024

电话:0411-84708645 copyright2013 大连理工大学网络与信息化中心