安全漏洞 —— Tomcat 安全管理器被绕过的问题 - 开源中国社区
安全漏洞 —— Tomcat 安全管理器被绕过的问题
oschina 2015年05月17日

安全漏洞 —— Tomcat 安全管理器被绕过的问题

oschina oschina 发布于2015年05月17日 收藏 19 评论 6

Tomcat 全系爆绕过安全管理器的漏洞,漏洞编号:CVE-2014-7810 Security Manager Bypass

漏洞严重程度: 一般

受影响版本:
- - Apache Tomcat 8.0.0-RC1 to 8.0.15
- - Apache Tomcat 7.0.0 to 7.0.57
- - Apache Tomcat 6.0.0 to 6.0.43

漏洞说明:
恶意的 Web 应用可通过使用表达式语言来绕过 Tomcat 安全管理器的保护,该问题主要是安装一些不受信任的应用程序。

处理方法:
- - Upgrade to Apache Tomcat 8.0.17 or later
 (8.0.16 has the fix but was not released)
- - Upgrade to Apache Tomcat 7.0.59 or later
 (7.0.58 has the fix but was not released)
- - Upgrade to Apache Tomcat 6.0.44 or later

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:安全漏洞 —— Tomcat 安全管理器被绕过的问题
分享
评论(6)
最新评论
0
tomcat user没开权限都能直接进啊
0

引用来自“滚地龙”的评论

大概是这样的,tomcat里面自带了一个mananger应用可以用来部署war包也就是这里说的应用程序,访问manager是需要验证的,可能是这个漏洞可以帮助黑客绕过这个验证导致任何人都可以访问manager部署应用
[强]
0
大概是这样的,tomcat里面自带了一个mananger应用可以用来部署war包也就是这里说的应用程序,访问manager是需要验证的,可能是这个漏洞可以帮助黑客绕过这个验证导致任何人都可以访问manager部署应用
0
不知所谓呢
0
详细点……
0
不受信任的应用程序?
顶部