Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。
1. 拒绝服务漏洞(CVE-2012-4534)
等级:严重
受影响版本:
Tomcat 7.0.0 ~ 7.0.27
Tomcat 6.0.0 ~ 6.0.35
描述:
当使用NIO连接器,并启用了sendfile和HTTPS时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。
解决方法:
Tomcat 7.0.x用户升级至7.0.28或更新版本
Tomcat 6.0.x用户升级至6.0.36或更新版本
2. 绕过安全约束(CVE-2012-3546)
等级:严重
受影响版本:
Tomcat 7.0.0 ~ 7.0.29
Tomcat 6.0.0 ~ 6.0.35
早期版本也可能受影响
描述:
当使用FORM身份验证时,如果一些组件在调用FormAuthenticator#authenticate()之前调用request.setUserPrincipal(),则可以在FORM验证器中通过在URL尾部附加上“/j_security_check”来绕过安全约束检查。
解决方法:
Tomcat 7.0.x用户升级至7.0.30或更新版本
Tomcat 6.0.x用户升级至6.0.36或更新版本
3. 绕过预防CSRF(跨站点请求伪造)过滤器(CVE-2012-4431)
等级:严重
受影响版本:
Tomcat 7.0.0 ~ 7.0.31
Tomcat 6.0.0 ~ 6.0.35
描述:
如果请求一个受保护的资源,而在请求中没有会话ID,则可以绕过预防CSRF过滤器。
解决方法:
Tomcat 7.0.x用户升级至7.0.32或更新版本
Tomcat 6.0.x用户升级至6.0.36或更新版本
对于以上这些漏洞的终极解决方法就是:时刻准备升级至最新的版本。
1. 拒绝服务漏洞(CVE-2012-4534)
等级:严重
受影响版本:
Tomcat 7.0.0 ~ 7.0.27
Tomcat 6.0.0 ~ 6.0.35
描述:
当使用NIO连接器,并启用了sendfile和HTTPS时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。
解决方法:
Tomcat 7.0.x用户升级至7.0.28或更新版本
Tomcat 6.0.x用户升级至6.0.36或更新版本
2. 绕过安全约束(CVE-2012-3546)
等级:严重
受影响版本:
Tomcat 7.0.0 ~ 7.0.29
Tomcat 6.0.0 ~ 6.0.35
早期版本也可能受影响
描述:
当使用FORM身份验证时,如果一些组件在调用FormAuthenticator#authenticate()之前调用request.setUserPrincipal(),则可以在FORM验证器中通过在URL尾部附加上“/j_security_check”来绕过安全约束检查。
解决方法:
Tomcat 7.0.x用户升级至7.0.30或更新版本
Tomcat 6.0.x用户升级至6.0.36或更新版本
3. 绕过预防CSRF(跨站点请求伪造)过滤器(CVE-2012-4431)
等级:严重
受影响版本:
Tomcat 7.0.0 ~ 7.0.31
Tomcat 6.0.0 ~ 6.0.35
描述:
如果请求一个受保护的资源,而在请求中没有会话ID,则可以绕过预防CSRF过滤器。
解决方法:
Tomcat 7.0.x用户升级至7.0.32或更新版本
Tomcat 6.0.x用户升级至6.0.36或更新版本
对于以上这些漏洞的终极解决方法就是:时刻准备升级至最新的版本。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/301743/viewspace-750656/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/301743/viewspace-750656/