中国Java开发网 中国Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» 中国Java开发网 » Application Server  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 Apache Tomcat 爆安全漏洞 5.x ~ 7.x 版本受影响
阿熊

阿熊

元老


发贴: 5637
积分: 454
于 2011-06-29 11:12 user profilesend a private message to usersearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
影响的版本:

Tomcat 7.0.0 to 7.0.16
Tomcat 6.0.0 to 6.0.32
Tomcat 5.5.0 to 5.5.33
更早的版本也有可能受影响。

漏洞描述:
当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时,如果异常发生,那么在 JMX 的客户端上的错误提示将会包含用户的密码,这个错误信息同时也会写到 Tomcat 的日志文件中。

重现此漏洞的步骤:
Tomcat 安全团队很难重现这个问题,以至于他们不得不修改 Tomcat 源码,让它直接抛出一个异常出来。另外理论上,一个 OutOfMemoryError 会直接导致这个漏洞的发生。

解决的办法:

不通过 JMX 来管理 MemoryUserDatabase
使用摘要密码
限制 Tomcat 日志文件的访问
升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本
打补丁:
- 7.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140070&view=rev
- 6.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140071&view=rev
- 5.5.x 补丁下载: http://svn.apache.org/viewvc?rev=1140072&view=rev



作者 Re:Apache Tomcat 爆安全漏洞 5.x ~ 7.x 版本受影响 [Re:阿熊]
阿熊

阿熊

元老


发贴: 5637
积分: 454
于 2011-08-22 22:32 user profilesend a private message to usersearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
Tomcat 6.0.33已修复
http://tomcat.apache.org/tomcat-6.0-doc/changelog.html

Fix CVE-2011-2204. Prevent user passwords appearing in log files if a runtime exception (e.g. OOME) occurs while creating a new user for a MemoryUserDatabase via JMX. (markt)




flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2018 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号
客服电话 0592-8750026    客服信箱 714923@qq.com    客服QQ 714923