Apache Tomcat发布重要安全公告,曝信息泄露及DoS漏洞
程序员文章站
2022-06-16 15:13:08
...
Apache Tomcat团队今天接连发布了两个重要安全公告,通知与Tomcat信息泄露相关的一个漏洞,以及另一个在此前广受关注的哈希碰撞引发拒绝服务(DoS)漏洞,Apache建议用户对Tomcat进行升级从而规避此漏洞。
漏洞一:Apache Tomcat信息泄露(CVE-2011-3375)
安全等级:重要
受影响版本:
出于性能考虑,Tomcat在解析请求时通常会将获得的信息缓存于两个位置,即:内部的request对象和processor对象。这些对象不能同时回收。当发生某些错误需要被记录到Tomcat访问日志时,访问记录process将在requset对象被回收后触发该对象re-population。然而,在request对象用于下一个请求前它尚未回收。这就会导致先前请求的信息泄露(例如,远程IP地址、HTTP头等)。
解决方法:
漏洞二:Apache Tomcat拒绝服务(CVE-2012-0022)
安全等级:重要
受影响版本:
解决方案:
漏洞一:Apache Tomcat信息泄露(CVE-2011-3375)
安全等级:重要
受影响版本:
- Tomcat 7.0.0 ~ 7.0.21
- Tomcat 6.0.30 ~ 6.0.33
出于性能考虑,Tomcat在解析请求时通常会将获得的信息缓存于两个位置,即:内部的request对象和processor对象。这些对象不能同时回收。当发生某些错误需要被记录到Tomcat访问日志时,访问记录process将在requset对象被回收后触发该对象re-population。然而,在request对象用于下一个请求前它尚未回收。这就会导致先前请求的信息泄露(例如,远程IP地址、HTTP头等)。
解决方法:
- Tomcat 7.0.x系列的用户应升级至7.0.22或以上版本
- Tomcat 6.0.x系列用户请升级至6.0.35或以上版本。
漏洞二:Apache Tomcat拒绝服务(CVE-2012-0022)
安全等级:重要
受影响版本:
- Tomcat 7.0.0 ~ 7.0.22
- Tomcat 6.0.0 ~ 6.0.33
- Tomcat 5.5.0 ~ 5.5.34
解决方案:
- Tomcat 7.0.x用户请升级至 7.0.23 或以上版本
- Tomcat 6.0.x 用户请升级至6.0.35 或以上版本
- Tomcat 5.5.x 用户请升级至5.5.35 或以上版本
下一篇: Axis2 升为apache的一级项目