Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Apache Tomcat, que permitiría a un atacante realizar divulgación de información del sistema afectado.
La vulnerabilidad identificada como CVE-2023-34981, de severidad “Alta”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el componente Response Header Handler de Apache Tomcat. Esto permitiría a un atacante, si la respuesta no cuenta o no posee definidas cabeceras HTTP, a través de un servidor proxy basado en AJP (tal como mod_proxy_ajp) reutilizar las cabeceras de la respuesta anterior, causando divulgación de información del sistema afectado.
Las versiones afectadas son:
- Apache Tomcat 11.0.0-M5
- Apache Tomcat 10.1.8.
- Apache Tomcat 9.0.74
- Apache Tomcat 8.5.88.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:
- Apache Tomcat 11.0.0-M6 (o posterior).
- Apache Tomcat 10.1.9 (o posterior).
- Apache Tomcat 9.0.75 (o posterior).
- Apache Tomcat 8.5.89 (o posterior).
Referencias:
- https://securityonline.info/cve-2023-34981-apache-tomcat-information-disclosure-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2023-34981
- https://lists.apache.org/thread/j1ksjh9m9gx1q60rtk1sbzmxhvj5h5qz
- https://tomcat.apache.org/download-11.cgi
- https://tomcat.apache.org/download-10.cgi
- https://tomcat.apache.org/download-90.cgi
- https://tomcat.apache.org/download-80.cgi