Java應用服務器 Apache Tomcat 再爆嚴重安全漏洞

fmms 13年前發布 | 18K 次閱讀 Java Tomcat

Tomcat 服務器是一個免費的開放源代碼的Web 應用服務器。

Tomcat是Apache 軟件基金會(Apache Software Foundation)的Jakarta 項目中的一個核心項目,由Apache、Sun 和其他一些公司及個人共同開發而成。由于有了Sun 的參與和支持,最新的Servlet 和JSP 規范總是能在Tomcat 中得到體現,Tomcat 5 支持最新的Servlet 2.4 和JSP 2.0 規范。因為Tomcat 技術先進、性能穩定,而且免費,因而深受Java 愛好者的喜愛并得到了部分軟件開發商的認可,成為目前比較流行的Web 應用服務器。

Tomcat 很受廣大程序員的喜歡,因為它運行時占用的系統資源小,擴展性好,支持負載平衡與郵件服務等開發應用系統常用的功能;而且它還在不斷的改進和完善中,任何一個感興趣的程序員都可以更改它或在其中加入新的功能。

Tomcat 是一個小型的輕量級應用服務器,在中小型系統和并發訪問用戶不是很多的場合下被普遍使用,是開發和調試JSP 程序的首選。對于一個初學者來說,可以這樣認為,當在一臺機器上配置好Apache 服務器,可利用它響應對HTML 頁面的訪問請求。實際上Tomcat 部分是Apache 服務器的擴展,但它是獨立運行的,所以當你運行tomcat 時,它實際上作為一個與Apache 獨立的進程單獨運行的。

這里的訣竅是,當配置正確時,Apache 為HTML頁面服務,而Tomcat 實際上運行JSP 頁面和Servlet。另外,Tomcat和IIS、Apache等Web服務器一樣,具有處理HTML頁面的功能,另外它還是一個Servlet和 JSP容器,獨立的Servlet容器是Tomcat的默認模式。不過,Tomcat處理靜態HTML的能力不如Apache服務器。

Java應用服務器 Apache Tomcat 再爆嚴重安全漏洞

Apache Tomcat 再次爆出安全漏洞:

漏洞:CVE-2011-3190  Apache Tomcat 繞過驗證和信息泄露 
嚴重性:嚴重 
公布方:Apache軟件基金會 
受影響的版本: 

  • Tomcat 7.0.0 ~ 7.0.20的所有版本
  • Tomcat 6.0.0 ~ 6.0.33的所有版本
  • Tomcat 5.5.0 ~ 5.5.33的所有版本
  • 早期的已不再提供支持的版本也可能受影響
    Apache Tomcat支持AJP協議,用來通過反向代理到Tomcat的請求和相關的數據,AJP協議的作用是,當一個請求包含請求主體時,一個未經允許的、包含請求主體首部分(或可能所有的)的AJP消息被發送到Tomcat。在某些情況下,Tomcat會把這個消息當作一個新的請求來處理,而不會當作請求主體。這可能導致攻擊者完全控制AJP消息,允許攻擊者:  

  • 插入已驗證用戶的名字
  • 插入任何客戶端的IP地址(可能繞過任何客戶端IP地址的過濾)
  • 導致用戶之間的響應混亂
下面的AJP連接器實現 不會受到影響 

  • org.apache.jk.server.JkCoyoteHandler (5.5.x - default, 6.0.x - default)
下面的AJP連接器實現 會受到影響 

  • org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x - default)
  • org.apache.coyote.ajp.AjpNioProtocol (7.0.x)
  • org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)
此外,這個問題只適用于以下都為真的情況:  

  • POST請求被接受
  • 請求主體沒有被處理
舉例:參見   https://issues.apache.org/bugzilla/show_bug.cgi?id=51698  

解決措施:  

VIA   apache.org
本文轉載自: http://www.iteye.com/news/22650

 本文由用戶 fmms 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/ef25d1