Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。
1. CVE-2014-0095:DoS(拒绝服务)漏洞
如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。
受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3
2. CVE-2014-0075:DoS(拒绝服务)漏洞
攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致DoS攻击。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
3. CVE-2014-0096:信息泄露漏洞
默认的servlet可以让Web应用程序定义一个XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和Web应用程序一样的约束条件,使得恶意Web应用通过使用外部XML来绕过安全限制。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
4. CVE-2014-0097:信息泄露漏洞
用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
5. CVE-2014-0119:信息泄露漏洞
在特定情况下,恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD(标签库描述符)和标签插件配置文件,注入的XML解析器可能会绕过针对XML外部实体的限制。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.5
- Apache Tomcat 7.0.0~7.0.53
- Apache Tomcat 6.0.0~6.0.39
解决方法:
各分支产品升级至最新的版本。
- Tomcat 8.x分支升级至Tomcat 8.0.8或更新版本
- Tomcat 7.x分支升级至Tomcat 7.0.54或更新版本
- Tomcat 6.x分支升级至Tomcat 6.0.41或更新版本
下载地址:http://tomcat.apache.org/
下面来看看那些年被曝出Tomcat漏洞。
- 2014年2月26日:Tomcat 全系安全漏洞,请尽快修复
- 2012年12月5日: Apache Tomcat 再爆严重安全漏洞
- 2012年11月6日: Apache Tomcat 曝出拒绝服务漏洞和身份验证漏洞
- 2012年1月18日: Apache Tomcat发布重要安全公告,曝信息泄露及DoS漏洞
- 2011年12月29日: Apache曝HashTable碰撞拒绝服务漏洞
- 2011年8月30日: Apache Tomcat 再曝严重安全漏洞
- 2011年7月14日: Tomcat 又曝安全漏洞,危及全系
- 2011年6月28日: Apache Tomcat 曝安全漏洞 5.x ~ 7.x 版本受影响
相关推荐
然而,正如所有软件系统一样,Apache Tomcat在发展过程中也暴露出了若干安全漏洞,这些漏洞可能被攻击者利用,对运行中的应用服务器造成不同程度的影响。 #### 二、具体漏洞分析 本次讨论的漏洞主要涉及输入验证...
Apache Tomcat是一款广泛应用的开源Java Servlet容器,它实现了Java EE的...保持软件更新是信息安全的关键一环,尤其是在面临安全漏洞时。因此,对于任何IT专业人员来说,时刻关注并及时处理类似的安全警告至关重要。
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
总之,Apache Tomcat的CVE-2019-0232漏洞是一个严重的安全问题,需要管理员立即采取行动进行修复。定期更新软件、谨慎配置服务以及实施严格的安全策略是防止此类漏洞被利用的关键。对于运行上述受影响版本的Apache ...
然而,AJP协议在过去曾被发现存在一些安全漏洞,其中最著名的就是CVE-2017-12619,这是一个远程代码执行漏洞。攻击者可以通过精心构造的AJP请求来利用此漏洞,从而在受影响的服务器上执行任意代码,对系统安全构成...
标题 "Apache Tomcat Directory Host Appbase Authentication Bypass Vulnerability" 指的是一个与Apache Tomcat服务器相关的安全问题。Apache Tomcat是广泛使用的开源Java Servlet容器,它实现了Java EE(现在称为...
2020年2月20日,CNVD(中国国家信息安全漏洞库)公开了一个关于Apache Tomcat的文件包含漏洞,该漏洞被标记为CVE-2020-1938。这个漏洞允许攻击者通过特定的输入,包含并执行Tomcat服务器上webapps目录下的任意文件,...
Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...
这个标题和描述提到了"Apache Tomcat远程代码执行验证代码",这通常涉及到一个安全漏洞,允许攻击者通过发送特定的HTTP请求在服务器上执行任意代码。 远程代码执行(RCE)是一种严重的安全风险,它允许攻击者在目标...
"fixed_in_apache_tomcat_8.5.84_security-8"这一公告通常指的是Apache官方发布的一个安全修复,该修复针对的是8.5.84之前的版本中存在的一系列安全漏洞。这意味着8.5.88版本的用户可能面临这些已知的安全风险,如果...
Alpha / Beta /Stable ...一个新的主要版本的初始...Apache Tomcat 3.1的用户应该更新到3.1.1以关闭安全漏洞,强烈建议他们迁移到当前的生产版本Apache Tomcat 3.3。 的Apache Tomcat 3.0.x的。初始Apache Tomcat版本。
CVE-2020-1938是2020年公开的一个严重安全漏洞,被称为“Tomcat AJP协议远程代码执行漏洞”。该漏洞存在于Apache Tomcat的AJP/1.3协议处理中,攻击者可以利用这个漏洞在受影响的服务器上执行任意代码,从而获取...
在2020年,Tomcat被发现存在一个严重的安全漏洞,编号为CVE-2020-9484,该漏洞可能导致远程代码执行(RCE)。 0x02 漏洞概述 CVE-2020-9484的根源在于错误配置和`org.apache.catalina.session.FileStore`组件中的...
然而,如同任何软件一样,Apache Tomcat也可能会存在安全漏洞,这些漏洞可能被恶意攻击者利用来执行未经授权的操作或者获取敏感信息。在本案例中,我们关注的是一个特定的安全漏洞,即CVE-2020-13935。 CVE(Common...
【安全漏洞管理制度】 1. 引言 安全漏洞管理制度旨在规范XXXX公司(以下简称:XXXX)在信息系统安全漏洞的发现、评估和处理过程中所遵循的规则和流程,旨在提高安全漏洞的发现效率,确保能及时消除潜在的安全隐患,...
注意,旧版本可能存在严重安全漏洞,因此建议使用最新稳定版本。 然后,进入注册表配置阶段。在Windows注册表编辑器中,创建以下键值结构: HKEY_LOCAL_MACHINE > SOFTWARE > Apache Software Foundation > ...
CVE-2017-12615是一个在Apache Tomcat服务器中发现的安全漏洞,该漏洞允许攻击者通过PUT方法上传恶意文件并执行任意命令,从而对系统造成严重的安全威胁。这个漏洞主要涉及到Tomcat的文件上传功能,特别是其处理...
CVE-2020-1938,也被称为Apache Tomcat文件包含漏洞,是一个在Apache Tomcat服务器中发现的安全漏洞,该漏洞允许攻击者远程读取服务器上的任意文件,甚至可能在某些情况下执行恶意代码。这个漏洞影响了Tomcat 9.0.x...
1. **更新版本**:定期检查并升级到最新稳定版本,以修复已知的安全漏洞。 2. **配置安全**:合理配置Tomcat服务器,包括限制连接器的访问,禁用不必要的服务和端口。 3. **使用安全的默认值**:修改默认的管理员...