Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。
1. 拒绝服务漏洞(CVE-2012-4534) 等级:严重
受影响版本:- Tomcat 7.0.0 ~ 7.0.27
- Tomcat 6.0.0 ~ 6.0.35
描述: 当使用NIO连接器,并启用了sendfile和HTTPS时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。
解决方法:- Tomcat 7.0.x用户升级至7.0.28或更新版本
- Tomcat 6.0.x用户升级至6.0.36或更新版本
2. 绕过安全约束(CVE-2012-3546) 等级:严重
受影响版本:- Tomcat 7.0.0 ~ 7.0.29
- Tomcat 6.0.0 ~ 6.0.35
- 早期版本也可能受影响
描述: 当使用FORM身份验证时,如果一些组件在调用FormAuthenticator#authenticate()之前调用 request.setUserPrincipal(),则可以在FORM验证器中通过在URL尾部附加上“/j_security_check”来绕过 安全约束检查。
解决方法:- Tomcat 7.0.x用户升级至7.0.30或更新版本
- Tomcat 6.0.x用户升级至6.0.36或更新版本
3. 绕过预防CSRF(跨站点请求伪造)过滤器(CVE-2012-4431) 等级:严重
受影响版本:- Tomcat 7.0.0 ~ 7.0.31
- Tomcat 6.0.0 ~ 6.0.35
描述: 如果请求一个受保护的资源,而在请求中没有会话ID,则可以绕过预防CSRF过滤器。
解决方法:- Tomcat 7.0.x用户升级至7.0.32或更新版本
- Tomcat 6.0.x用户升级至6.0.36或更新版本
Oracle MySQL Server 5.5.19用户名枚举漏洞Symantec Messaging Gateway任意文件下载漏洞相关资讯 Tomcat Tomcat安全漏洞
- Linux支持多Tomcat (07月02日)
- Linux下为Tomcat安装APR (02月14日)
- Apache Tomcat 9.0.0.M3 发布下载 (02月09日)
| - 虚拟机如何访问Tomcat (06月22日)
- Apache Tomcat 8.0.32 发布下载 (02月11日)
- Tomcat 8.0.30 发布下载 (12/07/2015 22:54:45)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
|
易网时代-编程资源站