CVE-2011-2204 Apache Tomcat 信息泄漏
安全级别: 低
影响的版本:- Tomcat 7.0.0 to 7.0.16
- Tomcat 6.0.0 to 6.0.32
- Tomcat 5.5.0 to 5.5.33更早的版本也有可能受影响。
漏洞描述:当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时,如果异常发生,那么在 JMX 的客户端上的错误提示将会包含用户的密码,这个错误信息同时也会写到 Tomcat 的日志文件中。
重现此漏洞的步骤:Tomcat 安全团队很难重现这个问题,以至于他们不得不修改 Tomcat 源码,让它直接抛出一个异常出来。另外理论上,一个 OutOfMemoryError 会直接导致这个漏洞的发生。
解决的办法:- 不通过 JMX 来管理 MemoryUserDatabase
- 使用摘要密码
- 限制 Tomcat 日志文件的访问
- 升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本
- 打补丁:
- 7.0.x: http://svn.apache.org/viewvc?rev=1140070&view=rev
- 6.0.x: http://svn.apache.org/viewvc?rev=1140071&view=rev
- 5.5.x: http://svn.apache.org/viewvc?rev=1140072&view=revSiemens Tecnomatix FactoryLink多个安全漏洞Apple Mac OS X AppleID本地信息泄露漏洞相关资讯 Apache Tomcat
- Linux支持多Tomcat (07月02日)
- Linux下为Tomcat安装APR (02月14日)
- Apache Tomcat 9.0.0.M3 发布下载 (02月09日)
| - 虚拟机如何访问Tomcat (06月22日)
- Apache Tomcat 8.0.32 发布下载 (02月11日)
- Tomcat 8.0.30 发布下载 (12/07/2015 22:54:45)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论<
|
易网时代-编程资源站