Topic: Tomcat 又爆安全漏洞,危及全系列 |
Print this page |
1.Tomcat 又爆安全漏洞,危及全系列 | Copy to clipboard |
Posted by: 阿熊 Posted on: 2011-07-14 22:40 Tomcat 全系又爆安全漏洞:CVE-2011-2526: Apache Tomcat 信息泄露和可用性漏洞。 安全级别:低。 漏洞描述 : Tomcat为sendfile提供了HTTP NIO 和HTTP APR 连接器支持。通过DefaultServlet 可以自动启用sendfile,部署的应用程序可以通过请求来直接调用,而这些请求没有经过验证。在安全管理器下运行时,由于缺少验证,恶意的Web应用程序会执行安全管理器所阻止的以下操作。 将安全管理器所阻止的文件返回给用户。 通过崩溃来终止JVM。 该漏洞虽然安全级别低,但不可小觑,目前所有的Tomcat 版本,无一幸免。Tomcat 开发团队称将很快发布修复版本。不过别着急,该漏洞只有在下面这几种情况下才存在: 正在使用不受信任的 Web应用程序。 用SecurityManager来限制不受信任的 Web应用程序。 使用 HTTP NIO 或HTTP APR 连接器。 默认情况下连接器启用sendfile。 |
2.Re:Tomcat 又爆安全漏洞,危及全系列 [Re: 阿熊] | Copy to clipboard |
Posted by: 阿熊 Posted on: 2011-08-22 22:29 Tpmcat 6.0.33已修复这个Bug Fix CVE 2011-2526. Protect against infinite loops (HTTP NIO) and crashes (HTTP APR) if sendfile is configured to send more data than is available in the file. (markt) http://tomcat.apache.org/tomcat-6.0-doc/changelog.html |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |