专注系统运维、网络架构,研究技术凯发app官方网站的解决方案,记录我的思想轨迹、工作学习、生活和关注的领域
分类: 系统运维
2013-04-18 12:04:13
apache 基金会成员 mark thomas 今天在邮件列表中公布了 tomcat 中新发现的 3 个安全漏洞。1.
等级:严重
受影响版本:
- tomcat 7.0.0 ~ 7.0.27
- tomcat 6.0.0 ~ 6.0.35
描述:
当使用 nio 连接器,并启用了 sendfile 和 https 时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。
解决方法:
- tomcat 7.0.x 用户升级至 7.0.28 或更新版本
- tomcat 6.0.x 用户升级至 6.0.36 或更新版本
2.
等级:严重
受影响版本:
- tomcat 7.0.0 ~ 7.0.29
- tomcat 6.0.0 ~ 6.0.35
- 早期版本也可能受影响
描述:
当使用 form 身份验证时,如果一些组件在调用 formauthenticator#authenticate ()之前调用 request.setuserprincipal (),则可以在 form 验证器中通过在 url 尾部附加上“/j_security_check”来绕过安全约束检查。
解决方法:
- tomcat 7.0.x 用户升级至 7.0.30 或更新版本
- tomcat 6.0.x 用户升级至 6.0.36 或更新版本
3.
等级:严重
受影响版本:
- tomcat 7.0.0 ~ 7.0.31
- tomcat 6.0.0 ~ 6.0.35
描述:
如果请求一个受保护的资源,而在请求中没有会话 id,则可以绕过预防 csrf 过滤器。
解决方法:
- tomcat 7.0.x 用户升级至 7.0.32 或更新版本
- tomcat 6.0.x 用户升级至 6.0.36 或更新版本