CVE-2023-46589：Apache Tomcat HTTP 请求走私漏洞

　　Apache Tomcat 是一种流行的开源 Java Web 应用程序服务器，已被发现存在一个严重漏洞，该漏洞可能允许攻击者在受影响的服务器上执行任意代码。该漏洞被称为 CVE-2023-46589，已被 Apache 软件基金会归类为“重要”，表明如果被利用，可能会造成重大损害。

　　该漏洞源于 Tomcat 在处理 HTTP 尾部标头时存在不当的输入验证缺陷。这些标头通常附加到 HTTP 请求的末尾，提供有关请求的其他信息。就 Tomcat 而言，该漏洞允许攻击者制作格式错误的尾部标头，从而诱骗服务器将单个请求作为多个请求进行处理。

　　这种操纵请求处理的能力为一种称为 HTTP 请求走私的技术开辟了一条途径。通过请求走私，攻击者可以将未经授权的请求注入合法的请求流，从而可能绕过安全控制并执行恶意代码。

　　受影响的版本和缓解措施

　　CVE-2023-46589 漏洞影响 Apache Tomcat 版本 11.0.0-M1 至 11.0.0-M10、10.1.0-M1 至 10.1.15、9.0.0-M1 至 9.0.82 以及 8.5.0 至 8.5.95。为了解决此漏洞，Apache 已针对所有受影响的分支发布了更新版本。强烈建议用户升级到最新版本的 Apache Tomcat：

　　• Apache Tomcat 11.0.0-M11 及更高版本

　　• Apache Tomcat 10.1.16 及更高版本

　　• Apache Tomcat 9.0.83 及更高版本

　　• Apache Tomcat 8.5.96 及更高版本