阅读更多

65顶
6踩

企业架构
CVE-2011-2204 Apache Tomcat信息泄漏

安全级别: 低

影响的版本:
  • Tomcat 7.0.0 to 7.0.16
  • Tomcat 6.0.0 to 6.0.32
  • Tomcat 5.5.0 to 5.5.33
更早的版本也有可能受影响。

漏洞描述:
当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时,如果异常发生,那么在 JMX 的客户端上的错误提示将会包含用户的密码,这个错误信息同时也会写到 Tomcat 的日志文件中。

重现此漏洞的步骤:
Tomcat 安全团队很难重现这个问题,以至于他们不得不修改 Tomcat 源码,让它直接抛出一个异常出来。另外理论上,一个 OutOfMemoryError 会直接导致这个漏洞的发生。

解决的办法:
  • 不通过 JMX 来管理 MemoryUserDatabase
  • 使用摘要密码
  • 限制 Tomcat 日志文件的访问
  • 升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本
  • 打补丁:
    - 7.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140070&view=rev
    - 6.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140071&view=rev
    - 5.5.x 补丁下载: http://svn.apache.org/viewvc?rev=1140072&view=rev

via http://seclists.org/fulldisclosure/2011/Jun/514

65
6
评论 共 20 条 请登录后发表评论
20 楼 jingyuzhu3 2011-06-30 15:57
19 楼 javaDevil 2011-06-30 00:29
管理模块一般都木有
18 楼 gdcooler 2011-06-29 20:44
上生产之后,管理模块都删除啦。。木有鸭梨。
17 楼 chxkyy 2011-06-29 14:46
基本没有用过这个文件tomcat-users.xml
16 楼 unika_ly12 2011-06-29 13:02
jackra 写道
表示完全没有鸭梨

+1
15 楼 jackra 2011-06-29 11:35
表示完全没有鸭梨
14 楼 sosu1314 2011-06-29 10:47
呵呵  升级吧
13 楼 comsci 2011-06-29 09:43
觉得,这个BUG对一般的用户影响不大
12 楼 boyleohong 2011-06-28 21:28
tomcat7还要升级,难道有tomcat8了?[/quot
升级无止境啊
11 楼 boyleohong 2011-06-28 21:27
pengliren 写道
沙发 呵呵

111111111111
10 楼 luoyahu 2011-06-28 17:48
直接把远程管理那部分删除不挺安全的吗?
9 楼 java_xiaoyi 2011-06-28 17:46
tomcat7还要升级,难道有tomcat8了?
8 楼 sinopf 2011-06-28 17:27
都没用过这个文件啊
7 楼 huruxing159 2011-06-28 16:27
不是按照他那种方式 搞 就不会了啊
6 楼 zhoujm 2011-06-28 16:01
tomcat-users.xml为什么要用这个呢?不用不就好了。
5 楼 ljpandmlx 2011-06-28 15:33
沙发
4 楼 csywashing 2011-06-28 15:06
又得下新版本
3 楼 Allen 2011-06-28 14:34
别用tomcat-users.xml不就好了。
2 楼 haiyupeter 2011-06-28 14:06
唉呀,悲剧呀,怎么可能升级嘛,旧应用是无法升级的,哪里知道升级上来会有哪些异常呀,哈哈。。。
1 楼 pengliren 2011-06-28 13:31
沙发 呵呵

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Global site tag (gtag.js) - Google Analytics