【Tomcat】Apache Tomcat多个版本存在本地越权漏洞

最新推荐文章于 2024-04-13 21:25:11 发布
最新推荐文章于 2024-04-13 21:25:11 发布
阅读量972 收藏 1
点赞数
分类专栏: java 文章标签: tomcat apache java 缓存 servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393827/article/details/126553323
版权

漏洞CVE-ID:CVE-2022-23181

漏洞风险等级:低(CVSS v2 Base Score: 4.4 | Impact Score: 6.4 | Exploitability Score: 3.4)

漏洞说明(官方):The fix for bug CVE-2020-9484 introduced a time of check, time of use vulnerability that allowed a local attacker to perform actions with the privileges of the user that the Tomcat process is using. This issue is only exploitable when Tomcat is configured to persist sessions using the FileStore.(翻译:针对 bug CVE-2020-9484 的修复引入了一个检查时间、使用时间漏洞,允许本地攻击者使用 Tomcat 进程正在使用的用户的权限执行操作。仅当 Tomcat 配置为使用文件存储保留会话时,才会利用此问题。)

受影响版本

  • 8.5.55 -8.5.73
  • 9.0.35 -9.0.56
  • 10.0.0-M5 -10.0.14

漏洞修复版本

  • 8.5.75
  • 9.0.58
  • 10.0.16
喵喵喵更多
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
弱掃報告:Apache Tomcat Default Files、Apache Tomcat 版本過舊(8.5.55) - 已解決
weixin_54519806的博客
01-19 827
發現問題: 弱掃報告有兩個弱點: 1. Apache Tomcat Default Files 問題 2. Apache Tomcat 版本過舊(8.5.5) 解決問題: Apache Tomcat Default Files → C:\apache-tomcat-8.5.55\lib\catalina.jar 解壓縮 → C:\apache-tomcat-8.5.55\lib\org\apache\catalina\util\ServerInfo.properties 將server.
tomcat.8.5.88
04-21
Tomcat 版本低于 8.5.84。因此,它受到 fixed_in_apache_tomcat_8.5.84_security-8 公告中引用的漏洞的影响。
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
安全公告编号:CNTA-2020-0004 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 一、漏洞情况分析 TomcatApache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web
apache+多个tomcat+https
05-31
Apacahe实现转发多个tomcat的https请求,可让多个tomcat共用80端口
apache tomcat 一个网站多域名的实现方法
09-16
因此处是进行多域名设置,所以 Apachetomcat的结合没有详述,此处只是设置多域名的方法
apache-tomcat-8.5.27版本的压缩包,直接下载到本地解压后即可使用
07-02
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,其为开源的、免费的,在应用服务器市场上占有较高的使用率。不同版本Tomcat要求符合不同版本的规范,目前较为常用的为7/8/9三个大版本,之前版本已经不建议使用,最新的10.0版本还处于Beta版本,不建议在生产环境使用。Apache建议使用最新的稳定版本。如今,Tomcat各个大版本是同步更新的,如果无特殊需求,建议升级到指定大版本下的最新小版本即可。二、版本类型(Alpha / Beta / Stable) Alpha 版本可能包含规范要求的大量未测试/缺失的功能和/或重大错误。 Beta 版本可能包含一些未经测试的功能或一些相对较小的错误。 Stable 稳定版本可能包含少量相对较小的 bug。适合生产使用,能够长时间稳定运行。 三、版本号介绍 Apache Tomcat 10.x Apache Tomcat 10.x 是当前开发的焦点。它基于 Tomcat 9.0.x,实现了 Servlet 5.0、 JSP 3.0、 EL 4.0、 WebSocket 2.0和认证2.0规范
Tomcat本地提权漏洞
stonesharp的专栏
10-11 3640
============================================= - Discovered by: Dawid Golunski - http://legalhackers.com - dawid (at) legalhackers.com - CVE-2016-1240 - Release date: 30.09.2016 - Revision: 1 - Severi
修复tomcat漏洞
hryzxjh的博客
06-25 3869
当前Tomcat存在漏洞Apache Tomcat 代码问题漏洞(CVE-2022-29885)Apache Tomcat 注入漏洞(CVE-2022-45143)Apache Tomcat 环境问题漏洞(CVE-2022-42252)Apache Tomcat 权限许可和访问控制问题漏洞(CVE-2022-23181)Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998)Apache Tomcat 跨站脚本漏洞(CVE-2022-34305)
tomcat 漏洞集合
qq_53229503的博客
09-02 6938
tomcat 漏洞集合
漏洞通告】Apache Tomcat HTTP请求走私漏洞CVE-2022-42252
m0_58094767的博客
12-28 1万+
tomcat漏洞
tomcat 7 最新版本 apache-tomcat-7.0.109
07-07
tomcat 7 最新版本 apache-tomcat-7.0.109
Apache Tomcat Session 反序列化代码执行漏洞(CVE-2021-2532)
qq_51577576的博客
01-17 1792
一、漏洞介绍 Apache Tomcat 是由Apache软件基金会属下Jakarta项目开发的Servlet容器。 Tomcat Session 反序列化代码执行漏洞CVE编号:CVE-2021-25329。 如果使用了Tomcat的session持久化功能,不安全的配置将导致攻击者可以发送恶意请求执行任意代码。 成功利用此漏洞需要同时满足以下4个条件:1. 攻击者能够控制服务器上文件的内容和名称; 2. 服务器PersistenceManager配置中使用了FileStore; 3. 服务器Persis
Apache Tomcat默认文件漏洞
热门推荐
weixin_43837718的博客
08-07 2万+
Apache Tomcat默认文件漏洞 一、概要 漏洞描述:默认错误页面,默认索引页面,示例JSP和/或示例servlet安装在远程Apache Tomcat服务器上。应删除这些文件,因为它们可能有助于攻击者发现有关远程Tomcat安装或主机本身的信息。 漏洞风险:中 修复建议:删除默认索引页并删除示例JSP和servlet。按照Tomcat或OWASP说明更换或修改默认错误页面。 二、解决办...
服务器中Linux(CentOS7.6)安装Tomcat8.5.88以及遇到的问题
weixin_43894382的博客
04-20 553
如果一切正常,你应该能够通过访问 http://[你的ip]:8080/去掉CATALINA_HOME这个环境变量,让各个Tomcat都直接从startup.bat所在的目录启动即可,抽空理解一下catalina.bat。注:Tomcat启动默认端口是8080,如果需要修改可以按照以下步骤进行。6.重新启动 Tomcat 服务,你就可以访问使用新的端口号了。需要注意的是,如果你使用的是低于 1024 的端口号,需要使用。属性即为 Tomcat 的 HTTP 端口号。属性的值修改为你想使用的端口号,例如。
中间件安全—Tomcat常见漏洞
ZL_1618的博客
03-21 1097
链接。
Tomcat 爆出高危漏洞
zhoumouren88的博客
05-26 698
一、漏洞背景 安全公告编号:CNTA-2020-0004 2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:****webapp 配置文件或源代码等。 受影响的版本包括:Tomcat 6,Tomcat 7的7.0...
tomcat8最新版本_Tomcat 又爆出高危漏洞!!Tomcat 8.5 10 中招…
weixin_39774905的博客
12-10 1443
Java技术栈www.javastack.cn关注阅读更多优质文章开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。光这半年以来,栈长知道的,通过公众号Java技术栈发布的就有 Dubbo、FastJSON、Tomc...
几个严重漏洞(高危)的原因分析和整改建议,2024年最新大数据开发性能优化之启动优化实战篇
最新发布
2401_84170244的博客
04-13 276
的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
tomcat安装多个版本
09-09
1. 下载不同版本Tomcat:访问Apache Tomcat官方网站(https://tomcat.apache.org/)并下载您需要的多个版本Tomcat压缩包。 2. 解压缩Tomcat压缩包:将每个Tomcat版本的压缩包解压到您选择的目录中,例如,将第...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值