前段时间接到了领导的任务,去帮客户重新安装一个tomcat。原因是tomcat有问题,客户托管在信息中心的应用被封了。领导指定要去安装tomcat 6.0.36的,去了安装完回来啦,就没事啦。
前两天看iteye的时候才知道原因,Apache Tomcat发布了新的安全漏洞的问题,最后的解决办法是 Tomcat 7.0.x用户升级至7.0.32或更新版本
Tomcat 6.0.x用户升级至6.0.36或更新版本
所列表的安全漏洞的问题分别是:
1. 拒绝服务漏洞(CVE-2012-4534)
受影响版本:
Tomcat 7.0.0 ~ 7.0.27
Tomcat 6.0.0 ~ 6.0.35
描述:
当使用NIO连接器,并启用了sendfile和HTTPS时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。
2. 绕过安全约束(CVE-2012-3546)
受影响版本:
Tomcat 7.0.0 ~ 7.0.29
Tomcat 6.0.0 ~ 6.0.35
早期版本也可能受影响
描述:
当使用FORM身份验证时,如果一些组件在调用FormAuthenticator#authenticate()之前调用request.se