Tomcat 据说被爆漏洞!

最新推荐文章于 2023-05-26 10:02:38 发布
最新推荐文章于 2023-05-26 10:02:38 发布
阅读量212 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moto72/article/details/106945542
版权

看到这个文章我没有实测过,但是看起来似乎是真的 :88:
CVE-2011-2204 Apache Tomcat信息泄漏
安全级别: 低 幸亏不是很“脸肿”哈
影响的版本:
Tomcat 7.0.0 to 7.0.16
Tomcat 6.0.0 to 6.0.32
Tomcat 5.5.0 to 5.5.33
漏洞描述:
当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时,如果异常发生,那么在 JMX 的客户端上的错误提示将会包含用户的密码,这个错误信息同时也会写到 Tomcat 的日志文件中。

重现此漏洞的步骤:
Tomcat 安全团队很难重现这个问题,以至于他们不得不修改 Tomcat 源码,让它直接抛出一个异常出来。另外理论上,一个 OutOfMemoryError 会直接导致这个漏洞的发生。

解决的办法:
不通过 JMX 来管理 MemoryUserDatabase
使用摘要密码
限制 Tomcat 日志文件的访问
升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本
打补丁:
7.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140070&view=rev
6.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140071&view=rev
5.5.x 补丁下载: http://svn.apache.org/viewvc?rev=1140072&view=rev

哈哈,其实我就不用这些东西,日志我还觉得费事呢! :89:

moto72
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
apache-tomcat-6.0.32
03-13
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上Tomcat是Apache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。
Tomcat安全漏洞,情何以堪
fyqcdbdx的专栏
09-28 790
CVE-2011-1184 Apache Tomcat - Multiple weaknesses in HTTP DIGEST authentication   严重性: 中等 所影响的版本: - - Tomcat 7.0.0 to 7.0.11 - - Tomcat
Apache Tomcat全系再曝严重安全漏洞 (转)
frank1998819
05-28 2290
Apache Tomcat全系产品再次出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。 1. CVE-2014-0095:DoS(拒绝服务)漏洞如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。受影响版本:Apache Tomcat 8.0.0-RC2~8.0.32. CVE-2014-0075:DoS(拒绝服务...
apache Tomcat 漏洞
09-27
apache Tomcat 漏洞
Tomcat 全系安全漏洞,请尽快修复
superli0427的专栏
02-27 3240
知友在官方了解到,Apache Tomcat团队今天发布公告称,Tomcat 6.x、7.x、8.x三个分支均发现安全漏洞,其中两个为重要的漏洞,建议用户尽快修复。 1.  DoS漏洞 Apache Tomcat开发团队之前修复了一个DoS漏洞,但没有修复完全。 等级:重要 受影响版本: Apache Tomcat 8.0.0-RC1 ~
Tomcat-8.5.28 无漏洞
03-05
在本文中,我们将深入探讨Tomcat 8.5.28这一特定版本,以及它如何修复了一个安全限制绕过漏洞。 标题中的"Tomcat-8.5.28 无漏洞"意味着该版本已经对已知的安全问题进行了修补,确保了用户的服务器不会受到这些漏洞...
Tomcat笔记+源码!!!!!!!!!!
最新发布
06-08
【标题】"Tomcat笔记+源码"涵盖了关于Apache Tomcat服务器的重要学习资源,这包括了实际操作的笔记以及源代码分析。Tomcat是Java Servlet和JavaServer Pages(JSP)技术的开源应用服务器,是Java EE应用部署的常用...
tomcat远程命令攻击的漏洞与利用
05-05
### Tomcat 远程命令攻击漏洞 CVE-2017-12615 的深入解析及利用 #### 漏洞概述 Tomcat 是一款开源的Servlet容器,由Apache软件基金会开发,广泛用于Java Web应用程序的部署。CVE-2017-12615 是一个存在于Apache ...
tomcat漏洞处理.zip
05-15
Tomcat漏洞处理详解》 在信息技术领域,服务器的安全性是至关重要的,而Apache Tomcat作为一款广泛应用的Java Servlet容器,其安全性问题更是备受关注。本文将深入探讨Tomcat漏洞处理的相关知识,帮助读者理解并...
tomcat远程代码执行漏洞验证
04-17
### Tomcat远程代码执行漏洞详解 #### 一、漏洞背景 Apache Tomcat 是一款开源的Servlet容器,它能够实现对Servlet 2.2 和后来版本规范的支持,同时也提供了作为开发和部署Java应用程序的一种完整策略。Tomcat 在...
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
安全公告编号:CNTA-2020-0004 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 一、漏洞情况分析 Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web
Apache Tomcat6.0.32 API 参考手册
08-18
Apache Tomcat6.0.32 API 参考手册,从官方源代码包中的javadoc中提取。
Tomcat漏洞
WEILIN19921214的专栏
07-05 5307
tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。 另外,由于其功能比较单纯需要我们进一步地进行设置。本机将从安全和功能两方面谈谈基于Tomcat的Web服务器的部署,希望对大家有所帮助。    环境描述   OS:Windows S
Tomcat严重安全漏洞
12-06 666
Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。 1.拒绝服务漏洞CVE-2012-4534) 等级:严重 受影响版本: To...
关于Apache Tomcat漏洞情况的通报
weixin_34253539的博客
04-25 338
近日,国家信息安全漏洞库(CNNVD)收到关于Apache Tomcat存在远程代码执行漏洞(CNNVD-201611-609)的情况报送。该漏洞源于多个Tomcat历史版本使用了存在反序列化漏洞(CNNVD-201604-459)的监听器组件。目前,Apache Tomcat已升级此监听器组件版本,由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行...
Apache Tomcat漏洞总结
热门推荐
星落的博客
04-17 2万+
CVE-2017-12615 任意写文件漏洞 漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件 然Tomcat对文件后缀有一定检测(不能直接写jsp),但我们使用一些文件系统的特性(如Linux下可用`/`)来绕过了限制。 AJP 文件包含漏洞CVE-2020-1938) 由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文.
Web中间件漏洞Tomcat
d59hao的博客
05-26 1401
Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好 Apache 服务器,可利用它响应 HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上 Tomcat 是 Apache 服务器的扩展,但运行时它是独立运行的,所以当运行 tomcat 时,它实际上作为一个与 Apache 独立的进程单独运行的。
Tomcat代码执行漏洞(CVE-2017-12615)的演绎及个人bypass
weixin_30834019的博客
09-21 567
0x00 漏洞简介 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞漏洞CVE编号:CVE-2017-12615和CVE-2017-12616。 其中 远程代码执行漏洞CVE-2017-12615) 影响: Apache Tomcat 7.0.0 - 7.0.79 漏洞触发条件: 1,tomcat得架设在windows主机上 2,将read...
中间件安全—Tomcat常见漏洞
剁椒鱼头没剁椒的博客
02-22 6151
链接。
tomcat不显示helloworld!
05-10
首先请确保你的Tomcat已经启动并且在运行中。然后,你可以尝试以下步骤来解决这个问题: 1. 检查你的helloworld应用程序是否已经正确部署到Tomcat服务器中。你可以检查Tomcat的日志文件,以确保没有出现任何错误或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值