歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> Linux業界

Apache Tomcat今天再爆嚴重安全漏洞

Apache基金會成員Mark Thomas今天在郵件列表中公布了Tomcat中新發現的3個安全漏洞。

1.  拒絕服務漏洞(CVE-2012-4534)

等級:嚴重

受影響版本:

  • Tomcat 7.0.0 ~ 7.0.27
  • Tomcat 6.0.0 ~ 6.0.35

描述:

當使用NIO連接器,並啟用了sendfile和HTTPS時,如果客戶端斷開連接,可能會陷入一個無限循環,導致拒絕服務。

解決方法:

  • Tomcat 7.0.x用戶升級至7.0.28或更新版本
  • Tomcat 6.0.x用戶升級至6.0.36或更新版本

2.  繞過安全約束(CVE-2012-3546)

等級:嚴重

受影響版本:

  • Tomcat 7.0.0 ~ 7.0.29
  • Tomcat 6.0.0 ~ 6.0.35
  • 早期版本也可能受影響

描述:

當使用FORM身份驗證時,如果一些組件在調用 FormAuthenticator#authenticate()之前調用 request.setUserPrincipal(),則可以在FORM驗證器中通過在URL尾部附加上“/j_security_check”來繞過 安全約束檢查。

解決方法:

  • Tomcat 7.0.x用戶升級至7.0.30或更新版本
  • Tomcat 6.0.x用戶升級至6.0.36或更新版本

3.  繞過預防CSRF(跨站點請求偽造)過濾器(CVE-2012-4431)

等級:嚴重

受影響版本:

  • Tomcat 7.0.0 ~ 7.0.31
  • Tomcat 6.0.0 ~ 6.0.35

描述:

如果請求一個受保護的資源,而在請求中沒有會話ID,則可以繞過預防CSRF過濾器。

解決方法:

  • Tomcat 7.0.x用戶升級至7.0.32或更新版本
  • Tomcat 6.0.x用戶升級至6.0.36或更新版本
Copyright © Linux教程網 All Rights Reserved