Apache Tomcat全系再曝严重安全漏洞

最新推荐文章于 2022-06-29 10:49:46 发布
最新推荐文章于 2022-06-29 10:49:46 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: tomcat

Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。

 

1.  CVE-2014-0095:DoS(拒绝服务)漏洞 

如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。 

受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3 

2.  CVE-2014-0075:DoS(拒绝服务)漏洞 

攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致DoS攻击。 

受影响版本: 

  • Apache Tomcat 8.0.0-RC1~8.0.3
  • Apache Tomcat 7.0.0~7.0.52
  • Apache Tomcat 6.0.0~6.0.39

3.  CVE-2014-0096:信息泄露漏洞 

默认的servlet可以让Web应用程序定义一个XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和Web应用程序一样的约束条件,使得恶意Web应用通过使用外部XML来绕过安全限制。 

受影响版本: 

  • Apache Tomcat 8.0.0-RC1~8.0.3
  • Apache Tomcat 7.0.0~7.0.52
  • Apache Tomcat 6.0.0~6.0.39

4.  CVE-2014-0097:信息泄露漏洞 

用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。 

受影响版本: 

  • Apache Tomcat 8.0.0-RC1~8.0.3
  • Apache Tomcat 7.0.0~7.0.52
  • Apache Tomcat 6.0.0~6.0.39

5.  CVE-2014-0119:信息泄露漏洞 

在特定情况下,恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD(标签库描述符)和标签插件配置文件,注入的XML解析器可能会绕过针对XML外部实体的限制。 

受影响版本: 

  • Apache Tomcat 8.0.0-RC1~8.0.5
  • Apache Tomcat 7.0.0~7.0.53
  • Apache Tomcat 6.0.0~6.0.39

解决方法

各分支产品升级至最新的版本。 

  • Tomcat 8.x分支升级至Tomcat 8.0.8或更新版本
  • Tomcat 7.x分支升级至Tomcat 7.0.54或更新版本
  • Tomcat 6.x分支升级至Tomcat 6.0.41或更新版本
tuna_lxg
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
安全公告编号:CNTA-2020-0004 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 一、漏洞情况分析 TomcatApache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web
CVE-2017-0199漏洞分析
一半西瓜的博客
04-17 4323
OFFICE OLE2LINK(CVE-2017-0199) 第一部分 OFFICE漏洞简介 1.1 微软office漏洞背景 1.2OFFICE OLE2LINK漏洞简介 第二部分 OFFICE OLE2LINK漏洞分析 2.1漏洞原理简单分析 2.2漏洞攻击原理简单图解 2.3相关知识介绍 第三部分 攻击代码分析 3.1 ms.rtf 3.2 配置文件 第四部分 利用复现过程 第五部分 攻击总结 参考资料
CVE-2014-7911 Android本地提权漏洞分析与利用
omnispace的博客
10-05 5732
概述 前面我们了解了Android Binder机制的基本原理,当然仅仅了解是不够的,我们要做到:Know it and hack it。这篇文章我们就来分析一个和Binder相关的漏洞:CVE-2014-7911。这是由Jann Horn发现的一个Android本地提权漏洞,能够使普通应用的权限提升到System权限,影响Android5.0以下版本。这个漏洞是非常值得Android安全研
CVE-2020-3119 Cisco CDP 协议栈溢出漏洞分析
晓得哥的博客
03-30 932
作者:Hcamael@知道创宇404实验室 时间:2020年03月19日 原文地址:https://paper.seebug.org/1154/ 英文版本:https://paper.seebug.org/1156/ Cisco Discovery Protocol(CDP)协议是用来发现局域网中的Cisco设备的链路层协议。 最近Cisco CDP协议爆了几个漏洞,挑了个栈溢出的CVE-2020...
Apache Tomcat全系严重安全漏洞 (转)
frank1998819
05-28 2248
Apache Tomcat全系产品再次爆出严重安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。 1. CVE-2014-0095:DoS(拒绝服务)漏洞如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。受影响版本:Apache Tomcat 8.0.0-RC2~8.0.32. CVE-2014-0075:DoS(拒绝服务...
Apache - Tomcat 漏洞集合
热门推荐
Beret-81的博客
03-29 1万+
Tomcat 漏洞集合及利用一、Tomcat 几个高危漏洞1、Tomcat 远程代码执行漏洞 (CVE-2017-12615)2、Apache Tomcat样例目录session操纵漏洞2、Apache Tomcat样例目录session操纵漏洞2、Apache Tomcat样例目录session操纵漏洞2、Apache Tomcat样例目录session操纵漏洞二、Tomcat 服务器安全配置 ...
Apache Tomcat 文件包含漏洞(CVE-2020-1938)
小小关的博客
06-29 972
Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。 Ghostcat(幽灵猫) 是由长亭科技安全研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上
Tomcat服务器漏洞利用
qq_35266419的博客
10-16 1317
题目 Tomcat 是一款常见的webserver,如果后台口令设置的比较简单,容易被攻击者破解登录后台。通过猜解到的口令登录tomcat管理后台后,可以上传webshell对服务器进行入侵。入侵成功后找到服务器中的key.txt文件。 题目分析 1.Tomcat: (1)Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合...
Tomcat 据说被爆漏洞!
moto72的专栏
09-19 202
看到这个文章我没有实测过,但是看起来似乎是真的 :88: CVE-2011-2204 Apache Tomcat信息泄漏 安全级别: 低 幸亏不是很“脸肿”哈 影响的版本: Tomcat 7.0.0 to 7.0.16 Tomcat 6.0.0 to 6.0.32 Tomcat 5.5.0 to 5.5.33 漏洞描述: 当使用 MemoryUserDatab...
Tomcat 全系报新的安全漏洞
weixin_34405332的博客
06-02 308
Tomcat 全系报 DoS 拒绝服务和信息暴露漏洞,包括: CVE-2014-0075 Denial of Service Severity: Important Vendor: The Apache Software Foundation Versions Affected: - Apache Tomcat 8.0.0-RC1 to 8.0.3...
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器...
腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞,
09-25
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
01-阿里云标准-Apache Tomcat 安全基线检查
jboss4版本修复Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439)升级包
04-25
jboss4版本下,jbossweb-tomcat55.sar升级包,修复Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439) 升级包中的jar来源于tomcat5.5.36 使用方法:直接替换jboss中旧的jbossweb-tomcat55.sar
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
基于 Spring Cloud 组件构建的分布式服务架构
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
Apache Tomcat 安全漏洞(CVE-2021-25329)
07-13
CVE-2021-25329 是 Apache Tomcat 服务器的一个安全漏洞,它影响了 Tomcat 9.0.0.M1 到 9.0.42 版本。该漏洞可以导致远程攻击者能够通过精心构造的请求,绕过访问控制限制,访问受限资源。 为了修复这个安全漏洞,请确保您的 Apache Tomcat 服务器升级到最新的版本。Apache Tomcat 团队已经发布了修复该漏洞的补丁版本,您可以从官方网站下载并安装最新的 Tomcat 版本。 另外,为了保护您的服务器免受潜在的攻击,还可以考虑以下建议: 1. 及时更新:确保您的 Apache Tomcat 服务器及相关软件都及时更新到最新版本,以获取最新的安全修复和功能改进。 2. 强化访问控制:审查和加强您的访问控制策略,限制对敏感资源的访问,并仅允许经过授权的用户或IP地址进行访问。 3. 配置安全性选项:根据最佳实践和安全建议,配置 Apache Tomcat 服务器的安全性选项,例如启用 SSL/TLS 加密、强密码策略等。 4. 安全审计和监控:定期进行安全审计和监控,及时检测和响应任何异常或可疑活动。 5. 安全意识培训:提高运维人员和开发人员的安全意识,教育他们关于安全最佳实践和常见攻击技术的知识。 请注意,以上建议仅供参考,具体的安全措施应根据您的具体环境和需求进行评估和实施。建议在升级或修改配置之前,先在测试环境中进行测试,确保没有不良影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值