Apache Tomcat 再爆嚴重安全漏洞
Apache 基金會成員 Mark Thomas 今天在郵件列表中公布了 Tomcat 中新發現的 3 個安全漏洞。
等級:嚴重
受影響版本:
- Tomcat 7.0.0 ~ 7.0.27
- Tomcat 6.0.0 ~ 6.0.35 </ul>
- Tomcat 7.0.x 用戶升級至 7.0.28 或更新版本
- Tomcat 6.0.x 用戶升級至 6.0.36 或更新版本 </ul>
- Tomcat 7.0.0 ~ 7.0.29
- Tomcat 6.0.0 ~ 6.0.35
- 早期版本也可能受影響 </ul>
- Tomcat 7.0.x 用戶升級至 7.0.30 或更新版本
- Tomcat 6.0.x 用戶升級至 6.0.36 或更新版本 </ul>
- Tomcat 7.0.0 ~ 7.0.31
- Tomcat 6.0.0 ~ 6.0.35 </ul>
- Tomcat 7.0.x 用戶升級至 7.0.32 或更新版本
- Tomcat 6.0.x 用戶升級至 6.0.36 或更新版本 </ul>
描述:
當使用 NIO 連接器,并啟用了 sendfile 和 HTTPS 時,如果客戶端斷開連接,可能會陷入一個無限循環,導致拒絕服務。
解決方法:
等級:嚴重
受影響版本:
描述:
當使用 FORM 身份驗證時,如果一些組件在調用 FormAuthenticator#authenticate ()之前調用 request.setUserPrincipal (),則可以在 FORM 驗證器中通過在 URL 尾部附加上“/j_security_check”來繞過安全約束檢查。
解決方法:
3. 繞過預防 CSRF(跨站點請求偽造)過濾器(CVE-2012-4431)
等級:嚴重
受影響版本:
描述:
如果請求一個受保護的資源,而在請求中沒有會話 ID,則可以繞過預防 CSRF 過濾器。
解決方法:
來自: www.iteye.com
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!