Apache Tomcat 信息泄露漏洞(CVE-2016-8745)

两味真火
 两味真火
发布于 2016年12月13日
收藏 12

发布时间:2016-12-12

重要程度:重要

受影响的版本:
  • Apache Tomcat 9.0.0.m1到9.0.0.m13

  • Apache Tomcat 8.5.0到8.5.8 

  • 更早期版本不受影响

描述:

8.5.x 的 Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归,因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存,这意味着处理器可以用于并发请求,共享处理器可导致请求之间的信息泄漏,包括但不限于会话ID和响应体。

解决方案:

安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决:

  • 切换到 NIO2 HTTP 或 APR HTTP 连接器

  • 禁止发送文件

  • 升级到 Apache Tomcat 9.0.0.M15 或更高版本 (Apache Tomcat 9.0.0.M14有修复,但没有发布)

  • 升级到 Apache Tomcat 8.5.9或更高版本

更多详细内容请点击这里

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Apache Tomcat 信息泄露漏洞(CVE-2016-8745)
加载中

精彩评论

雨翔河
雨翔河
这个锅怎么背。。。找到了,这个tomcat漏洞可能源于2013年7月Struts2的安全漏洞。
巴拉迪维
巴拉迪维
这个锅谁来背?出来!

最新评论(12

MGL_ONE
MGL_ONE

引用来自“雨翔河”的评论

这个锅怎么背。。。找到了,这个tomcat漏洞可能源于2013年7月Struts2的安全漏洞。
有道理 , struts2 不说话多背锅
麦田大圈圈
麦田大圈圈

引用来自“巴拉迪维”的评论

这个锅谁来背?出来!
用户背
雨翔河
雨翔河
这个锅怎么背。。。找到了,这个tomcat漏洞可能源于2013年7月Struts2的安全漏洞。
Tuesday
Tuesday

引用来自“开源中国首席颈椎砖家”的评论

版本太新,估计没人在正式环境上用
不管多新, 作为开发者, 总要去了解.... php 7.1都发布了, 还在5.2上写代码的人, 你能够理解?
模糊的张狂
模糊的张狂
8.0.37表示压力无限大
开源中国首席颈椎砖家
开源中国首席颈椎砖家
版本太新,估计没人在正式环境上用
木有龙井茶
木有龙井茶
7飘过
zigzagroad
zigzagroad
还好是新版本,没有影响
Jason Wang
Jason Wang
这个筛子。。。。。。
返回顶部
顶部