开源动态   

Apache Tomcat 今天再爆严重安全漏洞

时间:2012-12-05 13:48:00

Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。 

1.  拒绝服务漏洞(CVE-2012-4534) 

等级:严重 

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.27
  • Tomcat 6.0.0 ~ 6.0.35

描述: 

当使用NIO连接器,并启用了sendfile和HTTPS时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。 

解决方法:

  • Tomcat 7.0.x用户升级至7.0.28或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本

2.  绕过安全约束(CVE-2012-3546) 

等级:严重 

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.29
  • Tomcat 6.0.0 ~ 6.0.35
  • 早期版本也可能受影响

描述: 

当使用FORM身份验证时,如果一些组件在调用FormAuthenticator#authenticate()之前调用 request.setUserPrincipal(),则可以在FORM验证器中通过在URL尾部附加上“/j_security_check”来绕过 安全约束检查。 

解决方法:

  • Tomcat 7.0.x用户升级至7.0.30或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本

3.  绕过预防CSRF(跨站点请求伪造)过滤器(CVE-2012-4431) 

等级:严重 

受影响版本:

  • Tomcat 7.0.0 ~ 7.0.31
  • Tomcat 6.0.0 ~ 6.0.35

描述: 

如果请求一个受保护的资源,而在请求中没有会话ID,则可以绕过预防CSRF过滤器。 

解决方法:

  • Tomcat 7.0.x用户升级至7.0.32或更新版本
  • Tomcat 6.0.x用户升级至6.0.36或更新版本

Tomcat 的详细介绍:请点这里
Tomcat 的下载地址:请点这里

 

来源:PHPchina

Notice: Constant RUNTIME already defined in /srv/html/srccn/news/config.php on line 15 Notice: Constant ROOTDIR already defined in /srv/html/srccn/news/config.php on line 16 Notice: Constant SITEDIR already defined in /srv/html/srccn/news/config.php on line 17 Notice: Constant DATAURL already defined in /srv/html/srccn/news/config.php on line 20 Notice: Constant VERSION already defined in /srv/html/srccn/news/system/kernel.php on line 17 Notice: Constant COREDIR already defined in /srv/html/srccn/news/system/kernel.php on line 18 Fatal error: require(): Cannot redeclare class mysql in /srv/html/srccn/news/system/kernel.php on line 22