关于Apache Tomcat漏洞(CVE-2024-21733)

关于Apache Tomcat漏洞(CVE-2024-21733)

产品
    SVF
    invoiceAgent(原SPA)
    Dr.Sum
    MotionBoard
内容
Apache Tomcat 中发现信息泄露漏洞(CVE-2024-21733)。由于coyote/http11/Http11InputBuffer.java中在抛出CloseNowException异常后没有重置缓冲区位置和限制,威胁者可发送不完整的POST请求触发错误响应,从而可能导致获取其他用户先前请求的数据。
影响范围
     Apache Tomcat 9.0.0-M11 至 9.0.43
     Apache Tomcat 8.5.7 至 8.5.63
参考网站
https://tomcat.apache.org/security-9.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21733

SVF产品
影响范围
以下产品·版本,可能受 CVE-2024-21733 影响。
    SVF Web Designer Ver.9.2 Service Pack 10※~ Ver.10.1
    SVF Java Products 相关产品  Ver.9.2 Service Pack 10※~ Ver.10.1
    Report Director Enterprise Ver.9.2 Service Pack 10※~ Ver.10.1
    Universal Connect/X  Ver.9.2 Service Pack 10※~ Ver.10.1
解决方案
    Ver.9.2:请将产品升级到9.2.10.然后将 Tomcat 替换为 Ver.9.2 Service Pack 10上已经对应的 Tomcat 版本。 
    ※ 请下载 Tomcat 替换模块和说明(日文版)

     Ver.10:请更新至Ver.10.2或更高版本。


invoiceAgent(原:SPA)产品
影响范围
以下产品·版本,可能受 CVE-2024-21733 影响。
     SPA 9.3 Service Pack 6 ~ Service Pack 9 ※仅Document Converter受影响
    invoiceAgent Documents(原:SPA) Ver.10.0~Ver.10.5.1解决方案
请考虑更新到不受影响的版本。
     Ver.9.3:请更新至Ver.9.3 Service Pack 9以上版本。
                    目前最新版本是Ver.9.3 Service Pack 11。
     Ver.10:请更新至Ver.10.6或更高版本。
                   目前最新版本是Ver.10.10。

Dr.Sum产品
影响范围
以下产品·版本,可能受 CVE-2024-21733 影响。
    Dr.Sum 
        Data Funnel Ver. 5.1 / 5.5 / 5.6 
        Cloud Hub Server Ver. 5.5 / 5.6 
        TextOlap Ver. 5.1
    Dr.Sum Datalizer Ver. 5.0 / 5.1 / 5.5 
解决方案
请考虑升级到最新的 Dr.Sum / Dr.Sum Datalizer Ver. 5.7 或 Dr.Sum Datalizer Ver. 5.6,此版本不受影响。
Dr.Sum Ver. 5.6 计划支持以下内容。
     Dr.Sum版本5.6:
         Dr.Sum:在2024年3月14日发布的 Dr.Sum Ver.5.6.00.1060 常规补丁中得到解决。
※如果您使用Dr.Sum / Dr.Sum Datalizer Ver. 5.5或更低版本,请考虑升级到Ver. 5.6或更高版本。

MotionBoard产品
影响范围
以下产品·版本,可能受 CVE-2024-21733 影响。
    MotionBoard Ver.6.0 / 6.1.00.0020之前版本
解决方案
MotionBoard Ver.6.0 
应用最新补丁(6.0.00.0040)后,请按照以下步骤进行Tomcat替换操作。
     下载tomcat_8_5_96
     停止 MotionBoard 服务。
     将“MotionBoard安装目录/system/tomcat”复制到任意位置并备份。
     解压缩“tomcat_8_5_96_patch.zip”。
     将“tomcat_8_5_96_patch/lib”覆盖到“MotionBoard 安装目录/system/tomcat/lib”。
     将“tomcat_8_5_96_patch/conf”覆盖到“MotionBoard 安装目录/system/tomcat/conf”。
     将“tomcat_8_5_96_patch/bin”覆盖到“MotionBoard 安装目录/system/tomcat/bin”。
     将“tomcat_8_5_96”正下方的文件覆盖为“MotionBoard 安装目录/system/tomcat”正下方的文件。
     启动 MotionBoard 服务。

版本 6.1.00.0020 或更早版本:请升级到 6.1.00.0030 或更高版本。


    • Related Articles

    • 关于Apache Tomcat漏洞(CVE-2023-46589)

      产品:SVF、invoiceAgent(旧SPA)、Dr.Sum、MotionBoard 内容 Apache Tomcat 包含一个请求走私漏洞 (CVE-2023-46589)。由于Tomcat未能正确解析HTTP Trailer标头,超出标头大小限制的特制Trailer标头可能会导致 Tomcat 将单个请求视为多个请求,从而可能导致在反向代理之后出现请求走私。成功利用该漏洞可能导致绕过安全控制,未经授权访问敏感数据等。 【受漏洞影响的Tomcat版本】 Apache Tomcat ...

    • 关于Apache Tomcat 漏洞(CVE-2022-42252 等)

      相关产品 产品类型 产品名称 版本 SVF SVF Web Designer 9.2~10.2 SVF Java Products 相关 9.0~10.2 Report Director Enterprise Universal Connect/X invoceAgent(旧:SPA) invoiceAgent Documents SPA(旧:SVF PDF Archiver) 9.3 ~10.8.0 Dr.Sum(旧:Dr.Sum EA) Dr.Sum Server Excel ...

    • 关于Apache Tomcat 漏洞(CVE-2022-45143等)

      产品 · SVF · invoiceAgent (旧SPA) · MotionBoard · Dr.Sum 在 Apache Software Foundation 提供的 Apache Tomcat 中发现了以下漏洞。 JsonErrorReportValve 类由于未对用户可控的类型(type)、消息(message)或描述(description)值进行转义,在 Tomcat 处理用户请求时,如果调用序列中的 Valve ...

    • 关于 Apache Tomcat 漏洞(CVE-2023-45648、CVE-2023-44487、CVE-2023-42795、CVE-2023-42794 )

      产品: SVF、invoiceAgent(本地版)/SPA、Dr.Sum、MotionBoard 内容 Apache Software Foundation 提供的 Apache Tomcat 中发现了多个漏洞。 HTTP Trailer header不能正常解析的问题 - CVE-2023-45648 Tomcat HTTP/2 快速重置攻击拒绝服务漏洞 - CVE-2023-44487 Tomcat信息泄露漏洞 - CVE-2023-42795 Apache Tomcat拒绝服务漏洞 - ...

    • 关于Apache HTTP Server的漏洞(CVE-2006-20001、 CVE-2022-36760、 CVE-2022-37436等)

      关于Apache HTTP Server漏洞(CVE-2006-20001、 CVE-2022-36760、 CVE-2022-37436)的公开。 参考地址: Apache HTTP Server 2.4 vulnerabilities 产品 · SVF · invoiceAgent(SPA) · MotionBoard · Dr.Sum(Dr.Sum EA) 关于对SVF产品的影响 ·所有SVF关联产品不受该漏洞的影响。 关于对invoiceAgent(SPA)产品的影响 ...