Важно: обход аутентификации CVE-2023-41081 Компонент mod_jk Apache Tomcat Connectors при определенных обстоятельствах, например, когда конф…
Важно: обход аутентификации CVE-2023-41081 Компонент mod_jk Apache Tomcat Connectors при определенных обстоятельствах, например, когда конфигурация включала «JkOptions +ForwardDirectories», но конфигурация не предоставляла явных подключений для всех возможных проксированных запросов, mod_jk использовал бы неявное сопоставление и сопоставлял запрос с первым определенным работником. Такое неявное сопоставление могло привести к непреднамеренному раскрытию рабочего статуса и/или обходу ограничений безопасности, настроенных в httpd. Начиная с JK 1.2.49, функция неявного сопоставления была удалена, и теперь все сопоставления должны выполняться через явную конфигурацию. Эта проблема затрагивает только mod_jk. ISAPI redirector не затрагивается. Эта проблема затрагивает Apache Tomcat Connectors (только mod_jk): с 1.2.0 по 1.2.48. Пользователям рекомендуется обновиться до версии 1.2.49, в которой эта проблема устранена. История 2023-09-13 Оригинальное уведомление 2023-09-28 Обновленное резюме
При попытке сохранить конфиденциальность информации злоумышленник нередко может вывести часть этой информации с помощью статистических методов.
https://cwe.mitre.org/data/definitions/202.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| jbcs-httpd24-mod_jk | Отслеживается | |
| jbcs-httpd24-mod_jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| libapache-mod-jk | Отслеживается | |
| mod_jk | Отслеживается | |
| tomcat_connectors | * | Отслеживается |