CVE-2011-2204 Apache Tomcat信息泄漏
安全级别: 低
影响的版本:
- Tomcat 7.0.0 to 7.0.16
- Tomcat 6.0.0 to 6.0.32
- Tomcat 5.5.0 to 5.5.33
更早的版本也有可能受影响。
漏洞描述:
当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时,如果异常发生,那么在 JMX 的客户端上的错误提示将会包含用户的密码,这个错误信息同时也会写到 Tomcat 的日志文件中。
重现此漏洞的步骤:
Tomcat 安全团队很难重现这个问题,以至于他们不得不修改 Tomcat 源码,让它直接抛出一个异常出来。另外理论上,一个 OutOfMemoryError 会直接导致这个漏洞的发生。
解决的办法:
- 不通过 JMX 来管理 MemoryUserDatabase
- 使用摘要密码
- 限制 Tomcat 日志文件的访问
- 升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本
- 打补丁:
- 7.0.x 补丁下载:
http://svn.apache.org/viewvc?rev=1140070&view=rev
- 6.0.x 补丁下载:
http://svn.apache.org/viewvc?rev=1140071&view=rev
- 5.5.x 补丁下载:
http://svn.apache.org/viewvc?rev=1140072&view=rev
via
http://seclists.org/fulldisclosure/2011/Jun/514
20 楼 jingyuzhu3 2011-06-30 15:57
19 楼 javaDevil 2011-06-30 00:29
18 楼 gdcooler 2011-06-29 20:44
17 楼 chxkyy 2011-06-29 14:46
16 楼 unika_ly12 2011-06-29 13:02
+1
15 楼 jackra 2011-06-29 11:35
14 楼 sosu1314 2011-06-29 10:47
13 楼 comsci 2011-06-29 09:43
12 楼 boyleohong 2011-06-28 21:28
升级无止境啊
11 楼 boyleohong 2011-06-28 21:27
111111111111
10 楼 luoyahu 2011-06-28 17:48
9 楼 java_xiaoyi 2011-06-28 17:46
8 楼 sinopf 2011-06-28 17:27
7 楼 huruxing159 2011-06-28 16:27
6 楼 zhoujm 2011-06-28 16:01
5 楼 ljpandmlx 2011-06-28 15:33
4 楼 csywashing 2011-06-28 15:06
3 楼 Allen 2011-06-28 14:34
2 楼 haiyupeter 2011-06-28 14:06
1 楼 pengliren 2011-06-28 13:31