当前位置:系统之家 > 资讯首页 > 网络技术 > Apache Tomcat 再爆严重安全漏洞

Apache Tomcat 再爆严重安全漏洞

2012-12-06 来源:本站整理 我要评论(0)

用手机看

扫描二维码查看并分享给您的朋友

  Apache 基金会成员 Mark Thomas 今天在邮件列表中公布了 Tomcat 中新发现的 3 个安全漏洞。

  1. 拒绝服务漏洞(CVE-2012-4534)

  等级:严重

  受影响版本:

  Tomcat 7.0.0 ~ 7.0.27

  Tomcat 6.0.0 ~ 6.0.35

  描述:

  当使用 NIO 连接器,并启用了 sendfile 和 HTTPS 时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。

  解决方法:

  Tomcat 7.0.x 用户升级至 7.0.28 或更新版本

  Tomcat 6.0.x 用户升级至 6.0.36 或更新版本

  2. 绕过安全约束(CVE-2012-3546)

  等级:严重

  受影响版本:

  Tomcat 7.0.0 ~ 7.0.29

  Tomcat 6.0.0 ~ 6.0.35

  早期版本也可能受影响

  描述:

  当使用 FORM 身份验证时,如果一些组件在调用 FormAuthenticator#authenticate ()之前调用 request.setUserPrincipal (),则可以在 FORM 验证器中通过在 URL 尾部附加上“/j_security_check”来绕过安全约束检查。

  解决方法:

  Tomcat 7.0.x 用户升级至 7.0.30 或更新版本

  Tomcat 6.0.x 用户升级至 6.0.36 或更新版本

  3. 绕过预防 CSRF(跨站点请求伪造)过滤器(CVE-2012-4431)

  等级:严重

  受影响版本:

  Tomcat 7.0.0 ~ 7.0.31

  Tomcat 6.0.0 ~ 6.0.35

  描述:

  如果请求一个受保护的资源,而在请求中没有会话 ID,则可以绕过预防 CSRF 过滤器。

  解决方法:

  Tomcat 7.0.x 用户升级至 7.0.32 或更新版本

  Tomcat 6.0.x 用户升级至 6.0.36 或更新版本

您看完本文的心情是:

热门软件

  • 电脑软件
  • 手机软件
  • 手机游戏
更多>

用户评论

(已有0条评论)
表情
注:您的评论需要经过审核才能显示哦,请文明发言!
还没有评论,快来抢沙发吧!
返回顶部