Java开发网 Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» Java开发网 » Java Security  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞
阿熊

阿熊

元老


发贴: 5644
积分: 454
于 2014-05-29 08:08 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
1. CVE-2014-0095:DoS(拒绝服务)漏洞

如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。

受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3

2. CVE-2014-0075:DoS(拒绝服务)漏洞

攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致DoS攻击。

受影响版本:

•Apache Tomcat 8.0.0-RC1~8.0.3
•Apache Tomcat 7.0.0~7.0.52
•Apache Tomcat 6.0.0~6.0.39
3. CVE-2014-0096:信息泄露漏洞

默认的servlet可以让Web应用程序定义一个XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和Web应用程序一样的约束条件,使得恶意Web应用通过使用外部XML来绕过安全限制。

受影响版本:

•Apache Tomcat 8.0.0-RC1~8.0.3
•Apache Tomcat 7.0.0~7.0.52
•Apache Tomcat 6.0.0~6.0.39
4. CVE-2014-0097:信息泄露漏洞

用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。

受影响版本:

•Apache Tomcat 8.0.0-RC1~8.0.3
•Apache Tomcat 7.0.0~7.0.52
•Apache Tomcat 6.0.0~6.0.39
5. CVE-2014-0119:信息泄露漏洞

在特定情况下,恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD(标签库描述符)和标签插件配置文件,注入的XML解析器可能会绕过针对XML外部实体的限制。

受影响版本:

•Apache Tomcat 8.0.0-RC1~8.0.5
•Apache Tomcat 7.0.0~7.0.53
•Apache Tomcat 6.0.0~6.0.39
解决方法:

各分支产品升级至最新的版本。

•Tomcat 8.x分支升级至Tomcat 8.0.8或更新版本
•Tomcat 7.x分支升级至Tomcat 7.0.54或更新版本
•Tomcat 6.x分支升级至Tomcat 6.0.41或更新版本

下载地址:http://tomcat.apache.org/



话题树型展开
人气 标题 作者 字数 发贴时间
7376 Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞 阿熊 1258 2014-05-29 08:08

flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1
客服电话 18559299278    客服信箱 714923@qq.com    客服QQ 714923