 |
Java开发网 |
|
注册 |
登录 |
帮助 |
搜索 |
排行榜 |
发帖统计
|
| 您没有登录 |
» Java开发网 » Application Server
 打印话题
寄给朋友
订阅主题
|
    
|
| 作者 | Tomcat 又爆安全漏洞,危及全系列 |
阿熊
阿熊 元老 
发贴: 5644 积分: 454 
|
 于 2011-07-14 22:40
    
Tomcat 全系又爆安全漏洞:CVE-2011-2526: Apache Tomcat 信息泄露和可用性漏洞。 安全级别:低。 漏洞描述 : Tomcat为sendfile提供了HTTP NIO 和HTTP APR 连接器支持。通过DefaultServlet 可以自动启用sendfile,部署的应用程序可以通过请求来直接调用,而这些请求没有经过验证。在安全管理器下运行时,由于缺少验证,恶意的Web应用程序会执行安全管理器所阻止的以下操作。 将安全管理器所阻止的文件返回给用户。 通过崩溃来终止JVM。 该漏洞虽然安全级别低,但不可小觑,目前所有的Tomcat 版本,无一幸免。Tomcat 开发团队称将很快发布修复版本。不过别着急,该漏洞只有在下面这几种情况下才存在: 正在使用不受信任的 Web应用程序。 用SecurityManager来限制不受信任的 Web应用程序。 使用 HTTP NIO 或HTTP APR 连接器。 默认情况下连接器启用sendfile。 |
| 作者 | Re:Tomcat 又爆安全漏洞,危及全系列 [Re:阿熊] |
|
阿熊
阿熊 元老
发贴: 5644 积分: 454
|
于 2011-08-22 22:29
Tpmcat 6.0.33已修复这个Bug Fix CVE 2011-2526. Protect against infinite loops (HTTP NIO) and crashes (HTTP APR) if sendfile is configured to send more data than is available in the file. (markt) http://tomcat.apache.org/tomcat-6.0-doc/changelog.html |
|
|
已读帖子 新的帖子 被删除的帖子 |
|
 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |