1. Обзор уязвимостей

Apache Tomcat — популярный веб-сервер с открытым исходным кодом и контейнер Java-сервлетов. Coyote — это компонент соединителя Tomcat. Это внешний интерфейс, предоставляемый сервером Tomcat для клиентского доступа. Клиент устанавливает соединение с сервером через Coyote, отправляет запросы и получает ответы.

22 января 2024 года VenusStar VSRC обнаружил, что в Apache Tomcat исправлена ​​уязвимость утечки информации (CVE-2024-21733).

В версиях Apache Tomcat 9.0.0-M11–9.0.43, 8.5.7–8.5.63 существует уязвимость утечки информации, поскольку coyote/http11/Http11InputBuffer.java не сбрасывает расположение и ограничение буфера после создания исключения CloseNowException. Злоумышленник может отправить неполный POST-запрос, который вызывает ошибку, что потенциально может привести к получению данных, ранее запрошенных другим пользователем.

2. Сфера влияния

Apache Tomcat 9.0.0-M11 - 9.0.43

Apache Tomcat 8.5.7 - 8.5.63

3. Меры безопасности

3.1 Обновленная версия

Уязвимость устранена, и затронутые пользователи могут обновиться до следующих версий:

Apache Tomcat >= 9.0.44

Apache Tomcat >= 8.5.64

4. Измените встроенную версию Tomcat Springboot.

4.1 Проверьте встроенную версию Springboot

Можно найти в идее pom.xml в проекте 右键Maven-->show effective POM, выполните поиск, чтобы просмотреть встроенную версию Tomcat.

Вы также можете проверить соответствующую стартовую родительскую версию Springboot на сайте mvnrepository.com, например 2.0.4.RELEASE.

https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-parent/2.0.4.RELEASE

В [Управляемые зависимости (679)] найдите Tomcat, и вы увидите версию.

4.2 Изменение версии Springboot Tomcat

Добавьте tomcat.version в свойствах файла pom.xml.
    <properties>
        <java.version>1.8</java.version>
        <tomcat.version>9.0.44</tomcat.version>
    </properties>

4.3 Проверка версии Springboot Tomcat

Запустите проект Springboot, а затем просмотрите журнал запуска. Версия внутри является целевой, и изменение выполнено успешно.