安全漏洞 —— Tomcat 安全管理器被绕过的问题

2015年05月17日

Tomcat 全系爆绕过安全管理器的漏洞,漏洞编号:CVE-2014-7810 Security Manager Bypass

漏洞严重程度: 一般

受影响版本:
- - Apache Tomcat 8.0.0-RC1 to 8.0.15
- - Apache Tomcat 7.0.0 to 7.0.57
- - Apache Tomcat 6.0.0 to 6.0.43

漏洞说明:
恶意的 Web 应用可通过使用表达式语言来绕过 Tomcat 安全管理器的保护,该问题主要是安装一些不受信任的应用程序。

处理方法:
- - Upgrade to Apache Tomcat 8.0.17 or later
 (8.0.16 has the fix but was not released)
- - Upgrade to Apache Tomcat 7.0.59 or later
 (7.0.58 has the fix but was not released)
- - Upgrade to Apache Tomcat 6.0.44 or later

展开阅读全文
19 收藏
分享
加载中
最新评论 (6)
tomcat user没开权限都能直接进啊
2015-08-09 22:32
0
回复
举报

引用来自“滚地龙”的评论

大概是这样的,tomcat里面自带了一个mananger应用可以用来部署war包也就是这里说的应用程序,访问manager是需要验证的,可能是这个漏洞可以帮助黑客绕过这个验证导致任何人都可以访问manager部署应用
[强]
2015-05-18 12:12
0
回复
举报
大概是这样的,tomcat里面自带了一个mananger应用可以用来部署war包也就是这里说的应用程序,访问manager是需要验证的,可能是这个漏洞可以帮助黑客绕过这个验证导致任何人都可以访问manager部署应用
2015-05-17 21:33
0
回复
举报
不知所谓呢
2015-05-17 15:22
0
回复
举报
详细点……
2015-05-17 14:09
0
回复
举报
不受信任的应用程序?
2015-05-17 11:17
0
回复
举报
更多评论
6 评论
19 收藏
分享
返回顶部
顶部