Apache Tomcat全系再曝严重安全漏洞_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > Apache Tomcat全系再曝严重安全漏洞

Apache Tomcat全系再曝严重安全漏洞

 2014/5/28 22:48:17    程序员俱乐部  我要评论(0)
  • 摘要:ApacheTomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。1.CVE-2014-0095:DoS(拒绝服务)漏洞如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。受影响版本:ApacheTomcat8.0.0-RC2~8.0.32.CVE-2014-0075:DoS(拒绝服务)漏洞攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证
  • 标签:Tomcat Apache 漏洞 安全漏洞

  Apache Tomcat 全系产品再次爆出严重的安全漏洞,其中包括 2 个 DoS 漏洞和 3 个信息泄露漏洞。 

  1.   CVE-2014-0095:DoS(拒绝服务)漏洞 

  如果 AJP 请求中设置了一个长度为 0 的内容,会导致 AJP 请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。 

  受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3 

  2.   CVE-2014-0075:DoS(拒绝服务)漏洞 

  攻击者可以制作一个特殊大小的 chunked 请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致 DoS 攻击。 

  受影响版本: 

  • Apache Tomcat 8.0.0-RC1~8.0.3
  • Apache Tomcat 7.0.0~7.0.52
  • Apache Tomcat 6.0.0~6.0.39

3.   CVE-2014-0096:信息泄露漏洞 

  默认的 servlet 可以让 Web 应用程序定义一个 XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和 Web 应用程序一样的约束条件,使得恶意 Web 应用通过使用外部 XML 来绕过安全限制。 

  受影响版本: 

  • Apache Tomcat 8.0.0-RC1~8.0.3
  • Apache Tomcat 7.0.0~7.0.52
  • Apache Tomcat 6.0.0~6.0.39

4.   CVE-2014-0097:信息泄露漏洞 

  用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。 

  受影响版本: 

  • Apache Tomcat 8.0.0-RC1~8.0.3
  • Apache Tomcat 7.0.0~7.0.52
  • Apache Tomcat 6.0.0~6.0.39

5.   CVE-2014-0119:信息泄露漏洞 

  在特定情况下,恶意 Web 应用可能取代 Tomcat 中的 XML 解析器来处理默认 servlet 的 XSLT、JSP 文档、TLD(标签库描述符)和标签插件配置文件,注入的 XML 解析器可能会绕过针对 XML 外部实体的限制。 

  受影响版本: 

  • Apache Tomcat 8.0.0-RC1~8.0.5
  • Apache Tomcat 7.0.0~7.0.53
  • Apache Tomcat 6.0.0~6.0.39

解决方法 

  各分支产品升级至最新的版本。 

  • Tomcat 8.x 分支升级至 Tomcat 8.0.8 或更新版本
  • Tomcat 7.x 分支升级至 Tomcat 7.0.54 或更新版本
  • Tomcat 6.x 分支升级至 Tomcat 6.0.41 或更新版本

  下载地址:http://tomcat.apache.org/ 

  下面来看看那些年被曝出 Tomcat 漏洞。 

  • 2014 年 2 月 26 日:Tomcat 全系安全漏洞,请尽快修复
  • 2012 年 12 月 5 日: Apache Tomcat 再爆严重安全漏洞
  • 2012 年 11 月 6 日: Apache Tomcat 曝出拒绝服务漏洞和身份验证漏洞
  • 2012 年 1 月 18 日: Apache Tomcat 发布重要安全公告,曝信息泄露及 DoS 漏洞
  • 2011 年 12 月 29 日: Apache 曝 HashTable 碰撞拒绝服务漏洞
  • 2011 年 8 月 30 日: Apache Tomcat 再曝严重安全漏洞
  • 2011 年 7 月 14 日: Tomcat 又曝安全漏洞,危及全系
  • 2011 年 6 月 28 日: Apache Tomcat 曝安全漏洞 5.x ~ 7.x 版本受影响
发表评论
用户名: 匿名