Java开发网 |
注册 |
登录 |
帮助 |
搜索 |
排行榜 |
发帖统计
|
您没有登录 |
» Java开发网 » Application Server
打印话题 寄给朋友 订阅主题 |
作者 | Apache Tomcat 爆安全漏洞 5.x ~ 7.x 版本受影响 |
阿熊
阿熊 元老 发贴: 5644 积分: 454 |
于 2011-06-29 11:12
影响的版本: Tomcat 7.0.0 to 7.0.16 Tomcat 6.0.0 to 6.0.32 Tomcat 5.5.0 to 5.5.33 更早的版本也有可能受影响。 漏洞描述: 当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时,如果异常发生,那么在 JMX 的客户端上的错误提示将会包含用户的密码,这个错误信息同时也会写到 Tomcat 的日志文件中。 重现此漏洞的步骤: Tomcat 安全团队很难重现这个问题,以至于他们不得不修改 Tomcat 源码,让它直接抛出一个异常出来。另外理论上,一个 OutOfMemoryError 会直接导致这个漏洞的发生。 解决的办法: 不通过 JMX 来管理 MemoryUserDatabase 使用摘要密码 限制 Tomcat 日志文件的访问 升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本 打补丁: - 7.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140070&view=rev - 6.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140071&view=rev - 5.5.x 补丁下载: http://svn.apache.org/viewvc?rev=1140072&view=rev |
作者 | Re:Apache Tomcat 爆安全漏洞 5.x ~ 7.x 版本受影响 [Re:阿熊] |
阿熊
阿熊 元老 发贴: 5644 积分: 454 |
于 2011-08-22 22:32
Tomcat 6.0.33已修复 http://tomcat.apache.org/tomcat-6.0-doc/changelog.html Fix CVE-2011-2204. Prevent user passwords appearing in log files if a runtime exception (e.g. OOME) occurs while creating a new user for a MemoryUserDatabase via JMX. (markt) |
已读帖子 新的帖子 被删除的帖子 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |