NVD Vulnerability Detail
Search Exploit, PoC
CVE-2023-28708
Summary


When using the RemoteIpFilter with requests received from a reverse proxy via HTTP that include the X-Forwarded-Proto header set to https, session cookies created by Apache Tomcat 11.0.0-M1 to 11.0.0.-M2, 10.1.0-M1 to 10.1.5, 9.0.0-M1 to 9.0.71 and 8.5.0 to 8.5.85 did not include the secure attribute. This could result in the user agent transmitting the session cookie over an insecure channel.

Publication Date March 22, 2023, 8:15 p.m.
Registration Date March 23, 2023, 10:01 a.m.
Last Update Nov. 21, 2024, 4:55 p.m.
CVSS3.1 : MEDIUM
スコア 4.3
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI)
影響の想定範囲(S) 変更なし
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:tomcat:11.0.0:milestone1:*:*:*:*:*:*
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 10.1.0 10.1.6
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 9.0.0 9.0.72
cpe:2.3:a:apache:tomcat:*:*:*:*:*:*:*:* 8.5.0 8.5.86
cpe:2.3:a:apache:tomcat:11.0.0:milestone2:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
Apache Tomcat における保護されていない認証情報の送信の脆弱性
Title Apache Tomcat における保護されていない認証情報の送信の脆弱性
Summary

Apache Tomcat には、保護されていない認証情報の送信の脆弱性が存在します。 Apache Tomcatには、https が設定された X-Forwarded-Proto ヘッダを含むリクエストを HTTP 経由でリバースプロキシから受信し、RemoteIpFilter を使用している場合において、Apache Tomcat が作成するセッション CookieにSecure 属性が含まれない問題(CVE-2023-28708)が存在します。このため、ユーザエージェントが安全でないチャネルでセッション Cookie を送信する可能性があります。

Possible impacts 遠隔の第三者によって、セッションCookie情報が取得される可能性があります。 
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者によると、本脆弱性は次のバージョンで修正されているとのことです。  * Apache Tomcat 11.0.0-M3 およびそれ以降のバージョン  * Apache Tomcat 10.1.6 およびそれ以降のバージョン  * Apache Tomcat 9.0.72 およびそれ以降のバージョン  * Apache Tomcat 8.5.86 およびそれ以降のバージョン

Publication Date March 23, 2023, midnight
Registration Date March 24, 2023, 1:41 p.m.
Last Update Oct. 4, 2023, 2:51 p.m.
Affected System
Apache Software Foundation
Apache Tomcat 10.1.0-M1 から 10.1.5 までのバージョン
Apache Tomcat 11.0.0-M1 から 11.0.0-M2 までのバージョン
Apache Tomcat 8.5.0 から 8.5.85 までのバージョン
Apache Tomcat 9.0.0-M1 から 9.0.71 までのバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2023年03月24日]
  掲載		 March 24, 2023, 1:41 p.m.
2 [2023年05月23日]
  ベンダ情報:日立 (hitachi-sec-2023-116) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2023-28708) を追加		 May 23, 2023, 3:36 p.m.
3 [2023年10月04日]
  ベンダ情報:日立 (hitachi-sec-2023-141) を追加
 Oct. 4, 2023, 1:29 p.m.