资讯频道 企业架构
阅读更多

14顶
3踩

企业架构

原创新闻 Apache Tomcat 再爆严重安全漏洞

2011-08-30 12:08 by 副主编 wangguo 评论(19) 有29702人浏览
apache 安全漏洞 绕过验证 信息泄露

声明:ITeye资讯文章的版权属于ITeye网站所有,严禁任何网站转载本文,否则必将追究法律责任!

Apache Tomcat 再次爆出安全漏洞:

漏洞:CVE-2011-3190  Apache Tomcat 绕过验证和信息泄露
严重性:严重
公布方:Apache软件基金会
受影响的版本:

  • Tomcat 7.0.0 ~ 7.0.20的所有版本
  • Tomcat 6.0.0 ~ 6.0.33的所有版本
  • Tomcat 5.5.0 ~ 5.5.33的所有版本
  • 早期的已不再提供支持的版本也可能受影响
    Apache Tomcat支持AJP协议,用来通过反向代理到Tomcat的请求和相关的数据,AJP协议的作用是,当一个请求包含请求主体时,一个未经允许的、包含请求主体首部分(或可能所有的)的AJP消息被发送到Tomcat。在某些情况下,Tomcat会把这个消息当作一个新的请求来处理,而不会当作请求主体。这可能导致攻击者完全控制AJP消息,允许攻击者:

  • 插入已验证用户的名字
  • 插入任何客户端的IP地址(可能绕过任何客户端IP地址的过滤)
  • 导致用户之间的响应混乱
下面的AJP连接器实现不会受到影响

  • org.apache.jk.server.JkCoyoteHandler (5.5.x - default, 6.0.x - default)
下面的AJP连接器实现会受到影响

  • org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x - default)
  • org.apache.coyote.ajp.AjpNioProtocol (7.0.x)
  • org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)
此外,这个问题只适用于以下都为真的情况:

  • POST请求被接受
  • 请求主体没有被处理
举例:参见 https://issues.apache.org/bugzilla/show_bug.cgi?id=51698

解决措施:

VIA apache.org
14
3
评论 共 19 条 请登录后发表评论
19 楼 Phil_ 2016-02-16 14:12
[img] [/img]  
18 楼 wenxiang_tune 2011-08-31 12:44
tomcat+nginx飘过
17 楼 peak 2011-08-31 12:26
我们一直在用7.0.20
16 楼 skyfen 2011-08-31 11:39
软件,文件代码越多,就越不好控制。漏洞多这是自然的事情。关键是要看发现了即时修正。要不windows怎么也是经常更新修复漏洞哩!
15 楼 yhjhoo 2011-08-31 09:24
吐血,人家是发出修复补丁之后才发布公告的
14 楼 cnlcg 2011-08-31 08:15
永无止境的升级。。。
13 楼 SanyKing 2011-08-31 08:02
任何软件都避免不了BUG,总是在使用当中一步步改进^_^
12 楼 ZHH2009 2011-08-31 07:45
weiqiang.yang 写道
ZHH2009 写道
weiqiang.yang 写道
引用
The Tomcat security team strongly discourages the reporting of potential
security vulnerabilities via public channels such as this issue tracker.
Potential security vulnerabilities should be reported privately to
security@tomcat.apache.org


他这句话本身就矛盾,前一句是强烈鼓励把问题发到bugzilla(issue tracker),
后一句又跟你讲最好是发到security@tomcat.apache.org。

如果你没有十足的把握确认这是一个严重的安全漏洞,
发到security@tomcat.apache.org估计没人理。

发到bugzilla是最快的,响应速度也快,我提交过多个bug,有时两小时就修复了。

没有吧,strongly discourages是强烈不鼓励
在公共频道确实会引起更大的重视从而得到快速处理
但公开漏洞细节+攻击方法容易被利用么

是我看错了,sorry。

当初一方面是不知道有security@tomcat.apache.org,
另一方面是不能完全确定这是个安全漏洞,所以发到了bugzilla,
连标题都是:ajp CPing/Forward-Request packet forgery, is a design decision? or a security vulnerability?

11 楼 weiqiang.yang 2011-08-30 20:16
ZHH2009 写道
weiqiang.yang 写道
引用
The Tomcat security team strongly discourages the reporting of potential
security vulnerabilities via public channels such as this issue tracker.
Potential security vulnerabilities should be reported privately to
security@tomcat.apache.org


他这句话本身就矛盾,前一句是强烈鼓励把问题发到bugzilla(issue tracker),
后一句又跟你讲最好是发到security@tomcat.apache.org。

如果你没有十足的把握确认这是一个严重的安全漏洞,
发到security@tomcat.apache.org估计没人理。

发到bugzilla是最快的,响应速度也快,我提交过多个bug,有时两小时就修复了。

没有吧,strongly discourages是强烈不鼓励
在公共频道确实会引起更大的重视从而得到快速处理
但公开漏洞细节+攻击方法容易被利用么
10 楼 ZHH2009 2011-08-30 19:04
weiqiang.yang 写道
引用
The Tomcat security team strongly discourages the reporting of potential
security vulnerabilities via public channels such as this issue tracker.
Potential security vulnerabilities should be reported privately to
security@tomcat.apache.org


他这句话本身就矛盾,前一句是强烈鼓励把问题发到bugzilla(issue tracker),
后一句又跟你讲最好是发到security@tomcat.apache.org。

如果你没有十足的把握确认这是一个严重的安全漏洞,
发到security@tomcat.apache.org估计没人理。

发到bugzilla是最快的,响应速度也快,我提交过多个bug,有时两小时就修复了。
9 楼 weiqiang.yang 2011-08-30 18:55
引用
The Tomcat security team strongly discourages the reporting of potential
security vulnerabilities via public channels such as this issue tracker.
Potential security vulnerabilities should be reported privately to
security@tomcat.apache.org
8 楼 ZHH2009 2011-08-30 17:42
smallhand 写道
eyezhanghao 写道
这2年Tomcat怎么老是爆有漏洞

主要是用的多了,大家研究的深入了。


确实是这样,这个安全漏洞是我提交的,主要是想让一些老用户升级新版本,但是一直没动静,因为找不到理由升级,有次开玩笑说,要是发现漏洞了应该会升级吧,所以就找找看有什么地方可以攻击的。
7 楼 frankonge 2011-08-30 17:05
Tomcat菜鸟,表示不需要升级
6 楼 smallhand 2011-08-30 15:53
eyezhanghao 写道
这2年Tomcat怎么老是爆有漏洞

主要是用的多了,大家研究的深入了。
5 楼 ZHH2009 2011-08-30 14:14
Tomcat AJP协议包伪造 http://zhh2009.iteye.com/blog/1156191
4 楼 ZHH2009 2011-08-30 14:14
建议升级,
原因分析见我的博客:
3 楼 a8680 2011-08-30 13:09
没用tomcat的飘过。。。
2 楼 rox 2011-08-30 13:09
说明用的多了。
1 楼 eyezhanghao 2011-08-30 12:27
这2年Tomcat怎么老是爆有漏洞

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • Linux系统如何安装apache,和DNS服务并进行应用

    考虑到站点的运行效率、稳定性及可扩展性等因素,要求在CentOS7系统中构建httpd服务器,并使用httpd-2.2.17源码版本进行编译安装。 需求描述 1 . 编译安装httpd服务器,需求支持动态模式扩展,地址重写、多字符集 ...

  • linux apache配置

    linux apache配置服务

  • linux apache 403 forbidden,apache服务器显示403 Forbidden的原因和解决方法

    HTTP 错误 403 - 禁止访问,即403 Forbidden:You don't have permission...解决方法:打开apache的配置文件httpd.conf,逐行检查。找到:复制代码 代码如下:Options FollowSymLinksAllowOverride NoneOrder deny,al...

  • Linux实现DNS转发(统信UOS和CentOS实现(国赛Linux服务器))

    此时我们打开放在一旁很久了的测试客户机Cilbet,查看一下ip和dns dns接入Server04,由Server04进行DNS转发到Server01,接下来我们进行测试,先解析Server04。 成功,我们先不加转发试一下结果 无法解析,那我们...

  • Linux下Apache下载安装

     源码安装1) 在官方网站(http://apache.org/dyn/closer.cgi)上下载php到本地。wget http://mirror.bit.edu.cn/apache/httpd/httpd-2.4.32.tar.gz2) 解压缩tar –xf httpd-2.4.32.tar.gz...

  • Linux 离线安装 apache、httpd

    passwd apache ##回车后,输入2次密码;本次输入的是:apache123。##返回0 ,代表 执行成功,其他数字代表失败。

  • Kali Linux渗透测试小实践——DNS欺骗

    DNS欺骗也称为DNS劫持或重定向,是一种DNS攻击,其中DNS查询被错误地解析,从而意外地将用户重定向到恶意站点。为了进行攻击,犯罪者要么在用户计算机上安装恶意软件,接管路由器,要么拦截或破坏DNS通信。DNS劫持可...

  • Linux—搭建Apache(httpd)服务

    http是Apache超文本传输协议服务器的主程序。它是一个独立的后台进程,能够处理请求的子进程和线程。http常用用的两个版本是httpd-2.2和httpd-2.4CentOS6系列的默认httpd版本是httpd-2.2版本的rpm包CentOS7系列的...

  • Linux之WEB服务器Apache httpd源码编译安装

    Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用。Apache曾经是世界使用排名第一的Web服务器软件(2019年4月后...

  • Linux模块出现错误集锦

    这里要把以前遇到过得错误锦集记录一下 linux模块 CentOS 1.centos报错cannot execute binary file **解决办法:** 查看系统版本是否和jdk版本匹配 2.如果你有个目录下的文件夹A以下操作都导致直接卡死: (1)、在...

  • 如何在Ubuntu 22.04上安装Linux、Apache、MySQL、PHP(LAMP)堆栈

    LAMP”堆栈是一组开源软件,通常安装在...该术语是一个首字母缩略词,表示带有Apache web服务器的Linux操作系统。站点数据存储在MySQL数据库中,动态内容由PHP处理。在本指南中,您将在Ubuntu 22.04服务器上设置LAMP堆栈。

  • 虚拟机(linux)中安装与配置Apache服务器

    关于Apache服务器在linux虚拟机中的配置 操作之前先关闭防火墙和selinux`` 虚拟机中apache的安装 采用rpm命令安装 #setenforce 0 ——禁掉selinux #iptables -F;iptables -X;iptables -Z;iptables-save ——禁...

  • Linux:http服务(Apache 2.4.57)源码编译——配置网站 || 入门到入土

    编译源码包安装apache软件 cd /usr/src/httpd-2.4.57/ 在 /usr/src/httpd-2.4.57目录下使用 ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-lite --enable-cgi 中途千万别...

  • Linux离线安装apache

    Linux离线安装apache 准备工作: 以下操作需要root执行: #创建分组 groupadd apache #创建用户并分配分组 useradd -g apache -m apache #设置用户密码 passwd apache #创建目录 mkdir -p /apache/{8080-apache,...

  • Linux环境下搭建Apache服务器(完整版)

    Linux下搭建Apache服务器(完整版) 什么是Apache? Apache Licence是著名的非盈利开源组织Apache采用的协议。该协议和BSD类似,同样鼓励代码共享和尊重原作者的著作权,同样允许代码修改,再发布(作为开源或商业...

  • Apache配置错误AH00558:无法可靠地确定服务器的标准域名

    常见的Apache错误This tutorial series explains how to troubleshoot and fix some of the most common errors that you may encounter when using the Apache web server. 本教程系列说明了如何...

  • 2021-08-26 网安实验-Linux操作系统加固之配置安全的linux-apache服务器

    基本配置:安装和启动Apache服务器 1、Apache软件的安装 在RHEL6.0中可以通过两种方式安装Apache服务器。一种是在RHEL6.0光盘上找到自带的httpd-2.2.14-5.el6.i686.rpm软件包。本次实验使用的是centos,软件包已提前...

  • Linux菜鸟成长日记 ( Linux 下 Apache 服务程序的部署 )

    Linux 下 Apache 服务程序的部署 首先了解一下网络服务 我们平时访问的网站服务就是 Web 网络服务,一般是指允许用户通过浏览器访问到互联网中各种资源的服务。Web 网络服务是一种被动访问的服务程序,即只有接收...

  • Linux基础服务简单配置(DNS,DHCP,FTP,计划任务)

    1:DNS 域名解析 端口53 dns中记录的类型:SOA:起始授权记录 NS:域名服务记录 A:ipv4记录 AAAA:ipv6记录 搭建:1:yum install -y bind (6:bind 7:unbound) 2:编写主配置文件:vim /etc/named.conf listen -on port ...

  • linux环境安装apache服务器

    Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过...

Global site tag (gtag.js) - Google Analytics