阅读更多
Apache Tomcat团队今天接连发布了两个重要安全公告,通知与Tomcat信息泄露相关的一个漏洞,以及另一个在此前广受关注的哈希碰撞引发拒绝服务(DoS)漏洞,Apache建议用户对Tomcat进行升级从而规避此漏洞。


漏洞一:Apache Tomcat信息泄露(CVE-2011-3375)

安全等级:重要

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.21
  • Tomcat 6.0.30 ~ 6.0.33
漏洞描述:

出于性能考虑,Tomcat在解析请求时通常会将获得的信息缓存于两个位置,即:内部的request对象和processor对象。这些对象不能同时回收。当发生某些错误需要被记录到Tomcat访问日志时,访问记录process将在requset对象被回收后触发该对象re-population。然而,在request对象用于下一个请求前它尚未回收。这就会导致先前请求的信息泄露(例如,远程IP地址、HTTP头等)。

解决方法:

  • Tomcat 7.0.x系列的用户应升级至7.0.22或以上版本
  • Tomcat 6.0.x系列用户请升级至6.0.35或以上版本。
参见:http://mail-archives.apache.org/mod_mbox/www-announce/201201.mbox/%3C4F155CDC.8050804@apache.org%3E

漏洞二:Apache Tomcat拒绝服务(CVE-2012-0022)

安全等级:重要

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.22
  • Tomcat 6.0.0 ~ 6.0.33
  • Tomcat 5.5.0 ~ 5.5.34
漏洞描述:可以参见这篇文章介绍。

解决方案:

  • Tomcat 7.0.x用户请升级至 7.0.23 或以上版本
  • Tomcat 6.0.x 用户请升级至6.0.35 或以上版本
  • Tomcat 5.5.x 用户请升级至5.5.35 或以上版本
参见:http://mail-archives.apache.org/mod_mbox/www-announce/201201.mbox/%3C4F155CE2.3060301@apache.org%3E

  • 大小: 2 KB
12
1
评论 共 7 条 请登录后发表评论
7 楼 angel243fly 2012-01-20 16:51
对一般的应用无伤大雅
6 楼 boy002 2012-01-19 11:19
我一直使用最新的,紧跟时代潮流,无事飘过。
5 楼 fjjiaboming 2012-01-19 10:43
一小点应用. 黑客不看..
4 楼 haiyupeter 2012-01-19 09:55
tomcat,又来安全漏洞,悲剧了
3 楼 2005hithlj 2012-01-18 18:04
对一般应用没什么影响吧
2 楼 kjj 2012-01-18 12:55
7.0.23的飘过.........
1 楼 liuruncheng 2012-01-18 12:18
无关痛痒,一般的应用无所谓

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • Apache Tomcat全系再曝严重安全漏洞 (转)

    Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。 1. CVE-2014-0095:DoS(拒绝服务)漏洞如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理...

  • Apache Tomcat全系再曝严重安全漏洞

    Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。   1. CVE-2014-0095:DoS(拒绝服务)漏洞  如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗...

  • IIS Nginx Apache Tomcat 中间件漏洞

    IIS Nginx Apache Tomcat 中间件漏洞合集

  • Tomcat 全系安全漏洞,请尽快修复

    站长平台在官方了解到,Apache Tomcat团队今天发布公告称,Tomcat 6.x、7.x、8.x三个分支均发现安全漏洞,其中两个为重要的漏洞,建议用户尽快修复。 1. DoS漏洞 Apache Tomcat开发团队之前修复了一个...

  • 服务攻防-中间件安全&IIS&Apache&Tomcat&Nginx&弱口令&不安全配置&CVE

    知识点 1、中间件-IIS-短文件&解析&蓝屏&写权限 2、中间件-Nginx-文件解析&目录穿越&CRLF&CVE 3、中间件-Apache-RCE&目录遍历&文件解析 4、中间件-Tomcat-弱口令&文件上传&文件包含

  • Centos7系统安全漏洞及修复方案

    以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者...

  • Apache Tomcat 9 用户指南

    Apache Tomcat 9  Apache Tomcat9 版本9.0.14, 2018年12月6日 这是Apache Tomcat Servlet / JSP容器的文档包的顶级入口点 。的Apache Tomcat 9.0版本实现了Servlet 4.0和JavaServer Pages 2.3 规范从 Java...

  • Apache Tomcat全系产品再次爆出严重的安全漏洞,赶紧升级最新版本。

    漏洞,包括2个DoS漏洞和3个 信息 泄露漏洞。这些漏洞可能导致拒绝服务和信息泄露,严重影响到 网站 的安全。 建议 各位 阿里 云 用户关注并尽快 升级 系统修复漏洞!漏洞内容和修复方式如下。 升级版本的官方 ...

  • 安全漏洞及整改

    CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 1.2 整改建议: CSRF的防御可以从服务端和客户端两方面着手,...

  • Apache/Tomcat/JBOSS/Nginx区别

    一、Apache和Tomcat的区别: Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。 解析一: Apache支持静态...

  • Apache安全设置

    有关设置Web服务器的安全问题的一些提示和技巧。一些建议通用的,其他建议特定于Apache版本。

  • MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析

    MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析

  • 中间件漏洞及修复汇总

    中间件漏洞及修复汇总 1.Nginx文件解析漏洞: 漏洞等级:高危 漏洞描述: nginx文件解析漏洞产生的原因是网站中间键版本过低,可将任意文件当作php可执行文件来执行,可导致攻击者执行恶意代码来控制服务器。 漏洞...

  • web安全漏洞总结

    漏洞分为两个部分,常见的漏洞:sql注入、文件上传漏洞、文件包含漏洞、代码执行漏洞、命令执行漏洞、代码执行漏洞、xxe、xss、csrf、ssrf漏洞、反序列化漏洞、中间件漏洞、解析漏洞、权限提升漏洞。 第二部分:敏感...

  • Tomcat 爆出高危漏洞!可导致网站、数据泄露!附解决方案

    2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat ...

  • 常见安全漏洞及整改建议

    CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 1.2 整改建议:    CSRF的防御可以从服务端和...

  • 【中间件】一些中间件的相关漏洞总结

    包括常见的IIS、Apache、Nginx以及Tomcat 废话不多说,让我们直接开始吧~ (好啦我承认今天的表情包是因为好想去迪斯尼,难道是上年纪了吗,嗯?) 目录 一、IIS IIS 6.0 解析漏洞 IIS 7.5 解析漏洞 IIS 6...

  • 渗透测试常见漏洞描述以及修复建议

    渗透测试常见的漏洞以及修复建议

  • 常见漏洞知识库(原理/场景/修复)

    SQL 注入 0x01 漏洞描述 SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验(类型、长度...SQL注入漏洞可能出现在一切与数据库交互的地方,比如常见的查询用户信息、查询订单信...

  • 海尔智能电视刷机数据 U49A5 机编DH1W80A0305 务必确认机编一致 强制刷机 整机USB升级主程序

    务必确认机身编号与文件名机编一致,如不一致,请勿下载 机身编号一般在机子背面的贴纸上 升级方法: 1、下载数据,压缩包解压,将“Haier638Upgrade.bin”文件拷贝到U盘根目录下(U盘要求使用FAT32格式,建议4G-8G的品牌U盘,刷机成功率会高) 2、电视关机拔下电源,插入U盘,按住机身按键板上的“菜单”键不放,插电开机,直到LED灯开始闪表示升级正在进行,升级成功后机器会自动重起。 3、重启之后,重新交流上电,升级完成。 注意: 1、升级到结束,大约需要8-30分钟,中途绝对不能断电 2、升级重启第一次进入系统,请等完全正常进入开机桌面之后,才能拨下U盘

Global site tag (gtag.js) - Google Analytics