Apache基金會成員Mark Thomas今天在郵件列表中公布了Tomcat中新發現的3個安全漏洞。
1. 拒絕服務漏洞(CVE-2012-4534)
等級:嚴重
受影響版本:
描述:
當使用NIO連接器,並啟用了sendfile和HTTPS時,如果客戶端斷開連接,可能會陷入一個無限循環,導致拒絕服務。
解決方法:
2. 繞過安全約束(CVE-2012-3546)
等級:嚴重
受影響版本:
描述:
當使用FORM身份驗證時,如果一些組件在調用 FormAuthenticator#authenticate()之前調用 request.setUserPrincipal(),則可以在FORM驗證器中通過在URL尾部附加上“/j_security_check”來繞過 安全約束檢查。
解決方法:
3. 繞過預防CSRF(跨站點請求偽造)過濾器(CVE-2012-4431)
等級:嚴重
受影響版本:
描述:
如果請求一個受保護的資源,而在請求中沒有會話ID,則可以繞過預防CSRF過濾器。
解決方法: