阅读更多

9顶
0踩

企业架构

原创新闻 Apache Tomcat 再爆严重安全漏洞

2012-12-05 10:51 by 副主编 wangguo 评论(3) 有10649人浏览
Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。

1.  拒绝服务漏洞(CVE-2012-4534)

等级:严重

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.27
  • Tomcat 6.0.0 ~ 6.0.35
描述:

当使用NIO连接器,并启用了sendfile和HTTPS时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。

解决方法:

  • Tomcat 7.0.x用户升级至7.0.28或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本
2.  绕过安全约束(CVE-2012-3546)

等级:严重

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.29
  • Tomcat 6.0.0 ~ 6.0.35
  • 早期版本也可能受影响
描述:

当使用FORM身份验证时,如果一些组件在调用FormAuthenticator#authenticate()之前调用request.setUserPrincipal(),则可以在FORM验证器中通过在URL尾部附加上“/j_security_check”来绕过安全约束检查。

解决方法:

  • Tomcat 7.0.x用户升级至7.0.30或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本
3.  绕过预防CSRF(跨站点请求伪造)过滤器(CVE-2012-4431)

等级:严重

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.31
  • Tomcat 6.0.0 ~ 6.0.35
描述:

如果请求一个受保护的资源,而在请求中没有会话ID,则可以绕过预防CSRF过滤器。

解决方法:

  • Tomcat 7.0.x用户升级至7.0.32或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本

对于以上这些漏洞的终极解决方法就是:时刻准备升级至最新的版本。

  • 大小: 31.7 KB
  • 大小: 37.1 KB
  • 大小: 18.6 KB
  • 大小: 39.8 KB
  • 大小: 62.5 KB
  • 大小: 49.5 KB
  • 大小: 13 KB
  • 大小: 70.5 KB
9
0
评论 共 3 条 请登录后发表评论
3 楼 mfkvfn 2012-12-06 09:27
。。。
在用6.0.18
2 楼 绝缘材料 2012-12-05 21:20
时刻准备着~
1 楼 faye.feelcool 2012-12-05 16:18
一句话,升级到7.032或者是6.036

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • Apache Tomcat全系再曝严重安全漏洞 (转)

    Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。 1. CVE-2014-0095:DoS(拒绝服务)漏洞如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理...

  • Apache Tomcat全系再曝严重安全漏洞

    Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。   1. CVE-2014-0095:DoS(拒绝服务)漏洞  如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗...

  • Apache Tomcat(CVE-2019-0232)远程代码执行漏洞复现

    0x00简介 Tomcat 服务器是一个免费的开放源代码的Web 应用...实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。 0x01漏洞概述

  • Apache Tomcat 跨站脚本漏洞处理(CVE-2019-0221)

    Apache Tomcat 跨站脚本漏洞描述: Apache 是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器,Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。该程序实现了对Servlet和JavaServer Page(JSP)的...

  • 关于紧急修复Apache Tomcat Fastjson存在文件包含漏洞

    威胁级别:严重, 受影响的Fastjson版本:Fastjson<1.2.67 Fastjson是一个Java语言编写的高性能功能完善的JSON库。Fastjson 存在远程代码执行漏洞,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,...

  • Tomcat又爆严重安全漏洞

    Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。 1.拒绝服务漏洞(CVE-2012-4534) 等级:严重 受影响版本: To...

  • 【Tomcat】Tomcat多个版本存在拒绝服务漏洞

    Apache Tomcat使用Apache ...因此,Apache Tomcat也容易受到 Apache 共享资源文件上传漏洞。为 处理的请求部件数量没有限制。这 导致攻击者可能触发 DoS 恶意上传或一系列上传。拒绝服务漏洞(DoS)2022年12月11日。

  • CVE-2020-13935:Apache Tomcat拒绝服务漏洞复现

    CVE-2020-13935-Apache Tomcat拒绝服务漏洞1.漏洞描述2.影响版本3.漏洞检测4.漏洞修复 1.漏洞描述 CVE-2020-13935,WebSocket拒绝服务漏洞,漏洞等级为重要。 Apache Tomcat WebSocket帧中的有效负载长度未正确验证...

  • Apache Tomcat AJP任意文件读取/包含漏洞 CVE-2020-1938 漏洞复现

    Apache Tomcat AJP任意文件读取/包含漏洞(CVE-...Ghostcat是Chaitin Tech的安全研究人员发现的Tomcat中的一个严重漏洞。由于Tomcat AJP协议中的缺陷,攻击者可以读取或包括Tomcat的webapp目录中的任何文件。例如,攻

  • Apache-Tomcat-Ajp文件读取漏洞(CVE-2020-1938、CNVD-2020-10487)

    2020年1月6日,国家信息安全漏洞共享平台(CNVD) 发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。 该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,...

  • Tomcat 又爆出高危漏洞!Tomcat 8.5 ~ 10 中招…

    不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。 光这半年以来,所知道的就有 Dubbo、FastJSON、Tomcat: 前段时间这个 Tomcat AJP 协议漏洞大开,2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝...

  • Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响

    如下图所示:Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5Apache Tomcat 9.0.0.M1 ~ 9.0.35Apache Tomcat 8.5.0 ~ 8.5.55如果条件允许,可以通过升级到Tomcat新版本来解决漏洞。下面为受影响版本对应的安全版本:02 Spring ...

  • 安全资讯|所有版本的Apache Tomcat都受到Ghostcat漏洞的影响

    Apache Tomcat的所有版本都受到名为Ghostcat的漏洞的影响,攻击者可以利用该漏洞读取配置文件或在易受攻击的服务器上安装后门程序。该漏洞跟踪为CVE-2020-1938,影...

  • 服务器信息泄漏漏洞,云安全日报210302:Apache Tomcat应用服务器发现信息泄露漏洞,需要尽快升级...

    Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页(Web)服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一.Tomcat是由Apache软件...

  • 高危:Apache Tomcat HTTP/2 DoS 漏洞,影响多个版本

    Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。 HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成...

  • Apache Tomcat请求走私漏洞 CVE-2022-42252

    Apache Tomcat是一个开源的Java Servlet容器和JavaServer Pages(JSP)容器。它是由Apache软件基金会开发和维护的,是一个轻量级、快速、可扩展的Web服务器,用于执行Java Servlet和JavaServer Pages技术。

  • Apache Tomcat 再次爆出安全漏洞

     Apache Tomcat支持AJP协议,用来通过反向代理到Tomcat的请求和相关的数据,AJP协议的作用是,当一个请求包含请求主体时,一个未经允许的、包含请求主体首部分(或可能所有的)的AJP消息被发送到Tomcat。...

Global site tag (gtag.js) - Google Analytics