Apache Tomcat 今天再爆严重安全漏洞

oschina
 oschina
发布于 2012年12月05日
收藏 25

Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。

1.  拒绝服务漏洞(CVE-2012-4534)

等级:严重

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.27
  • Tomcat 6.0.0 ~ 6.0.35

描述:

当使用NIO连接器,并启用了sendfile和HTTPS时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。

解决方法:

  • Tomcat 7.0.x用户升级至7.0.28或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本

2.  绕过安全约束(CVE-2012-3546)

等级:严重

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.29
  • Tomcat 6.0.0 ~ 6.0.35
  • 早期版本也可能受影响

描述:

当使用FORM身份验证时,如果一些组件在调用FormAuthenticator#authenticate()之前调用 request.setUserPrincipal(),则可以在FORM验证器中通过在URL尾部附加上“/j_security_check”来绕过 安全约束检查。

解决方法:

  • Tomcat 7.0.x用户升级至7.0.30或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本

3.  绕过预防CSRF(跨站点请求伪造)过滤器(CVE-2012-4431)

等级:严重

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.31
  • Tomcat 6.0.0 ~ 6.0.35

描述:

如果请求一个受保护的资源,而在请求中没有会话ID,则可以绕过预防CSRF过滤器。

解决方法:

  • Tomcat 7.0.x用户升级至7.0.32或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本
本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Apache Tomcat 今天再爆严重安全漏洞
加载中

最新评论(21

r
ratking
《回乡偶书》
贺知章
少小离家老大回,
乡音无改鬓毛衰。
儿童相见不相识,
笑问客从何处来。
拉登他哥
拉登他哥
当年struts漏洞可把我害惨了.
☆冰山一角☆
有些严重的安全问题只有在特定条件下才能触发,确定不会触发没必要换新的吧,毕竟新的也许有漏洞,只是发现者不公布呢
Ryan-瑞恩
Ryan-瑞恩

引用来自“活的很快乐”的评论

tomcat一般都在内网里面,会受受到攻击吗?

内网你觉得会吗???你还是快的升级版本吧。
虚无道长
虚无道长

引用来自“wangaowell”的评论

开源、免费的还有什么可说的。

你认为不开源、收费的就没有问题?
活的很快乐
活的很快乐
tomcat一般都在内网里面,会受受到攻击吗?
H丶World
H丶World
这个Tomcat,一有新的就要立马更新。
韭精过敏
韭精过敏
预防CSRF过滤器,这玩意是tomcat默认启动的过滤器吗? 貌似我没启动过
奥神Well
奥神Well
开源、免费的还有什么可说的。
返回顶部
顶部