Apache Tomcat发布重要安全公告,曝信息泄露及DoS漏洞
fmms 12年前
<div id="news_body"> <p> Apache Tomcat 团队今天接连发布了两个重要安全公告,通知与 Tomcat 信息泄露相关的一个漏洞,以及另一个在此前广受关注的哈希碰撞引发拒绝服务(DoS)漏洞,Apache 建议用户对 Tomcat 进行升级从而规避此漏洞。</p> <p style="text-align:center;"><img alt="Apache Tomcat发布重要安全公告,曝信息泄露及DoS漏洞" src="https://simg.open-open.com/show/17f55703b1d759632d015aba7e54cd01.gif" width="146" height="92" /></p> <p> <strong>漏洞一:Apache Tomcat 信息泄露(CVE-2011-3375)</strong></p> <p> 安全等级:<strong>重要</strong></p> <p> <strong>受影响版本:</strong></p> <ul> <li>Tomcat 7.0.0 ~ 7.0.21</li> <li>Tomcat 6.0.30 ~ 6.0.33</li> </ul> <p><strong> 漏洞描述:</strong></p> <p> 出于性能考虑,Tomcat 在解析请求时通常会将获得的信息缓存于两个位置,即:内部的 request 对象和 processor 对象。这些对象不能同时回收。当发生某些错误需要被记录到 Tomcat 访问日志时,访问记录 process 将在 requset 对象被回收后触发该对象 re-population。然而,在 request 对象用于下一个请求前它尚未回收。这就会导致先前请求的信息泄露(例如,远程 IP 地址、HTTP 头等)。</p> <p> <strong>解决方法:</strong></p> <ul> <li>Tomcat 7.0.x 系列的用户应升级至7.0.22或以上版本</li> <li>Tomcat 6.0.x 系列用户请升级至6.0.35或以上版本。</li> </ul> <p> 参见:<a href="/misc/goto?guid=4958326208385961177" target="_blank">http://mail-archives.apache.org/mod_mbox/www-announce/201201.mbox/%3C4F155CDC.8050804@apache.org%3E</a></p> <p> <strong>漏洞二:Apache Tomcat 拒绝服务(CVE-2012-0022)</strong></p> <p> 安全等级:<strong>重要</strong></p> <p> <strong>受影响版本:</strong></p> <ul> <li>Tomcat 7.0.0 ~ 7.0.22</li> <li>Tomcat 6.0.0 ~ 6.0.33</li> <li>Tomcat 5.5.0 ~ 5.5.34</li> </ul> <p><strong> 漏洞描述:</strong>可以参见这篇<a href="/misc/goto?guid=4958326209198559747" target="_blank">文章</a>介绍。</p> <p> <strong>解决方案:</strong></p> <ul> <li>Tomcat 7.0.x 用户请升级至 7.0.23 或以上版本</li> <li>Tomcat 6.0.x 用户请升级至6.0.35 或以上版本</li> <li>Tomcat 5.5.x 用户请升级至5.5.35 或以上版本</li> </ul> <p> 参见:<a href="/misc/goto?guid=4958326209994076027" target="_blank">http://mail-archives.apache.org/mod_mbox/www-announce/201201.mbox/%3C4F155CE2.3060301@apache.org%3E</a><br /> 来自: <a id="link_source2" href="/misc/goto?guid=4958326210793352720" target="_blank">www.iteye.com</a></p> </div>