Apache Tomcat 爆出拒绝服务漏洞和身份验证漏洞
程序员文章站
2022-05-16 10:51:56
...
Apache软件基金会团队在邮件列表中指出,Tomcat中存在一个严重的拒绝服务(DoS)漏洞,以及一个摘要式身份验证漏洞。
1. 拒绝服务(DoS)漏洞(CVE-2012-2733)
漏洞描述:
在HTTP NIO连接器请求解析过程中,用于限制请求头大小的检查进程实施太晚,这允许攻击者通过发送一个请求头非常大的单个请求来触发内存溢出(OutOfMemoryError)。
严重程度:重要
影响版本:
漏洞描述:
Tomcat在实施摘要式身份验证时,存在三个安全薄弱环节:
严重程度:中度
影响版本:
1. 拒绝服务(DoS)漏洞(CVE-2012-2733)
漏洞描述:
在HTTP NIO连接器请求解析过程中,用于限制请求头大小的检查进程实施太晚,这允许攻击者通过发送一个请求头非常大的单个请求来触发内存溢出(OutOfMemoryError)。
严重程度:重要
影响版本:
- Tomcat 7.0.0 ~ 7.0.27
- Tomcat 6.0.0 ~ 6.0.35
漏洞描述:
Tomcat在实施摘要式身份验证时,存在三个安全薄弱环节:
- Tomcat跟踪客户端,而不是server nonce和nonce count
- 当一个会话ID存在时,验证被绕过
- 在一个nonce过期之前,没有验证用户名和密码
严重程度:中度
影响版本:
- Tomcat 7.0.0 ~ 7.0.29
- Tomcat 6.0.0 ~ 6.0.35
- Tomcat 5.5.0 ~ 5.5.35
- 早期版本也可能受影响
- Tomcat 7.0.x 用户应立即升级至 7.0.30 或更新版本
- Tomcat 6.0.x 用户应立即升级至 6.0.36 或更新版本
- Tomcat 5.5.x 用户应立即升级至 5.5.36 或更新版本
上一篇: 判断一棵树是否是搜索二叉树
下一篇: PHP 能做什么?_PHP教程