发布日期：2019-05-07
更新日期：2020-09-15

受影响系统：

Ratpack  < 1.6.1

描述：

---

CVE(CAN) ID: CVE-2019-11808

Ratpack是一款用于构建可扩展HTTP应用程序的Java库。
Ratpack 1.6.1之前版本存在信息泄露漏洞。该漏洞源于程序使用弱PRNG在JDK的ThreadLocalRandom中生成会话ID。攻击者可通过确定服务器小窗口的启动时间并获取一个会话ID值利用该漏洞获取会话IDs序列。


<**>

建议：

---

厂商补丁：

Ratpack
-------
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/ratpack/ratpack/releases/tag/v1.6.1

浏览次数：843
严重程度：0（网友投票）