Tomcat 全系安全漏洞,请尽快修复

最新推荐文章于 2024-07-03 08:31:38 发布
最新推荐文章于 2024-07-03 08:31:38 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: 知友分享 文章标签: tomcat apache 安全漏洞 web应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superli0427/article/details/20042501
版权
知友在官方了解到,Apache Tomcat团队今天发布公告称,Tomcat 6.x、7.x、8.x三个分支均发现安全漏洞,其中两个为重要的漏洞,建议用户尽快修复。



1.  DoS漏洞

Apache Tomcat开发团队之前修复了一个DoS漏洞,但没有修复完全。

等级:重要

受影响版本:

  • Apache Tomcat 8.0.0-RC1 ~ 8.0.0-RC5
  • Apache Tomcat 7.0.0 ~ 7.0.47
  • Apache Tomcat 6.0.0 ~ 6.0.37
2.  信息泄露漏洞

Apache Tomcat开发团队之前修复了一个信息泄露漏洞,但没有修复完全。

等级:重要

受影响版本:

  • Apache Tomcat 8.0.0-RC1
  • Apache Tomcat 7.0.0 ~ 7.0.42
  • Apache Tomcat 6.0.0 ~ 6.0.37
3.  XXE信息泄露漏洞

当运行不受信任的Web应用时,通过XXE可导致信息泄露问题。

等级:低

受影响版本:

  • Apache Tomcat 8.0.0-RC1 ~ 8.0.0-RC5
  • Apache Tomcat 7.0.0 ~ 7.0.47
  • Apache Tomcat 6.0.0 ~ 6.0.37
4.  会话确定攻击漏洞

当启用disableURLRewriting后,可能会导致会话确定(Session fixation)——攻击者为受害者确定一个会话ID从而达到攻击的目的。

等级:低

受影响版本:

  • Apache Tomcat 6.0.33 ~ 6.0.37
修复方法

Apache Tomcat最新版本中修复了这些漏洞,请升级至如下版本。

  • 升级至Apache Tomcat 8.0.0-RC10或更新版本
  • 升级至Apache Tomcat 7.0.50或更新版本
  • 升级至Apache Tomcat 6.0.39或更新版本

更多信息: http://tomcat.apache.org/security.html

下载地址: http://tomcat.apache.org/

zuzwn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web中间件漏洞Tomcat
d59hao的博客
05-26 1400
Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好 Apache 服务器,可利用它响应 HTML(标准通用标记语言下的一个应用)页面的访问求。实际上 TomcatApache 服务器的扩展,但运行时它是独立运行的,所以当运行 tomcat 时,它实际上作为一个与 Apache 独立的进程单独运行的。
关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc
07-16
Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...
Tomcat漏洞
WEILIN19921214的专栏
07-05 5301
tomcat是一个开源Web服务器,基于TomcatWeb运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。 另外,由于其功能比较单纯需要我们进一步地进行设置。本机将从安全和功能两方面谈谈基于TomcatWeb服务器的部署,希望对大家有所帮助。    环境描述   OS:Windows S
通过升级tomcat完美解决服务器的tomcat漏洞
最新发布
cooldream2009的博客
07-03 1318
软件开发完成并交付给客户,过了一段时间,客户的上级部门要求对服务器进行安全检测,通过漏洞扫描,对服务器的漏洞情况进行通报,要求限期完成漏洞修补。客户一般没有技术能力,就找到软件开发公司,帮助其解决服务器的安全问题。我们做为软件开发人员,也会帮忙解决一些服务器安全方面的问题。
Tomcat 据说被爆漏洞
moto72的专栏
09-19 211
看到这个文章我没有实测过,但是看起来似乎是真的 :88: CVE-2011-2204 Apache Tomcat信息泄漏 安全级别: 低 幸亏不是很“脸肿”哈 影响的版本: Tomcat 7.0.0 to 7.0.16 Tomcat 6.0.0 to 6.0.32 Tomcat 5.5.0 to 5.5.33 漏洞描述: 当使用 MemoryUserDatab...
Tomcat曝本地提权漏洞 (CVE-2016-1240 附PoC)
热门推荐
浮生若梦的专栏
10-08 1万+
就在各位欢度国庆的时候,Tomcat于10月1日曝出本地提权漏洞CVE-2016-1240。仅需Tomcat用户低权限,攻击者就能利用该漏洞获取到系统的ROOT权限。而且该漏洞的利用难度并不大,受影响的用户需要特别关注。 Tomcat是个运行在Apache上的应用服务器,支持运行Servlet/JSP应用程序的容器——可以将Tomcat看作是Apache的扩展,实际上Tomcat也可以独立于Ap
tomcat 漏洞集合
qq_53229503的博客
09-02 7254
tomcat 漏洞集合
apache-tomcat-8.5.51.tar.gz(官方宣布最新无漏洞版本)
02-23
2020 年 2 月 4 日,Apache Tomcat 官方发布了新的版本,该版本修复了一 个影响所有版本(7.*、8.*、9.*)的文件包含漏洞,但官方暂未发布安全公告 2020 年 2 月 20 日,CNVD 发布了漏洞公告,对应漏洞编号:CNVD-...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞的存在使得攻击者有可能通过精心构造的求,将恶意代码注入到Tomcat服务器上,从而执行任意...
安全漏洞管理制度.doc
09-27
- 信息安全部负责监控和评估安全漏洞,指导漏洞修复工作。 - IT中心负责协调漏洞修复的技术支持,确保系统的正常运行。 - 各产品开发部门负责修复其开发的系统中存在的漏洞,确保代码安全。 5. 漏洞处理流程 流程...
tomcat-9.0.87
03-22
1. **安全性**:每次更新都会包含对已知安全漏洞修复,确保服务器免受攻击。用户应尽快更新到最新版本,以保持系统的安全性。 2. **性能提升**:Tomcat团队持续优化内部算法和数据结构,以提高服务器的处理能力和...
Apache-tomcat-6.0.53 for linux
05-20
1、linux版本,windows不可用! 2、官方已不提供下载,网上还是比较难找。 3、此版本是6.0的最后一个版本,6.0建议使用该版本,因为bug/漏洞最少,这也是这个版本最大的优势。 ps.windows下部分压缩文件无法打开tar.gz,直接在linux下用吧。
Apache-tomcat-6.0.53 for Linux(Redhat/CentOS测试通过)
11-23
提供tomcat6 for linux,给急需使用的朋友应急,官网上不好找了。Redhat6.6下测试通过。安装说明: 1.解压并且解包 输入命令:tar -zxvf apache-tomcat-6.0.53.tar.gz 在目录下有apache-tomcat-6.0.53文件夹,重命名为tomcat 2、修改环境变量 在目录/etc下修改profile文件 export CATALINA_HOME=/usr/local/tomcat export CLASSPATH=.:$JAVA_HOME/lib:$CATALINA_HOME/lib export PATH=$PATH:$CATALINA_HOME/bin 执行命令: source /etc/profile 查看环境变量: echo $CLASSPATH 3. 启动tomcat: ./catalina.sh start (关闭tomcat ./shutdown.sh stop) 4.、测试 查看Tomcat是否已经启动netstat -ntl |grep 8080 浏览器地址栏输入 http://localhost:8080/ 如果能看到Tomcat的欢迎页表示整合成功,至此已经完成了Java/JSP服务器的搭建。
Tomcat 漏洞总结
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-09 9710
CVE-2017-12615 漏洞原理 CVE-2017-12615由于配置不当,可导致任意文件上传,影响版本:Tomcat7.0.0-7.0.81 由于配置不当,conf/web.xml中的readonly设置为flase,可导致用PUT方法上传任意文件,但限制了jsp后缀的上传 漏洞复现 使用Vulhub搭建测试环境 Vulhub - Docker-Compose file for vulnerability environment 成功启动环境 进入容器,并查看配置文件,发现r
Tomcat服务器漏洞利用
qq_35266419的博客
10-16 1379
题目 Tomcat 是一款常见的webserver,如果后台口令设置的比较简单,容易被攻击者破解登录后台。通过猜解到的口令登录tomcat管理后台后,可以上传webshell对服务器进行入侵。入侵成功后找到服务器中的key.txt文件。 题目分析 1.Tomcat: (1)Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合...
tomcat系列漏洞
qq_56150805的博客
05-06 2206
Tomcat 配置了两个Connecto,它们分别是 HTTP 和 AJP :HTTP默认端口为8080,处理http求,而AJP默认端口8009,用于处理 AJP 协议的求,而AJP比http更加优化,多用于反向、集群等,漏洞由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用,是开发和调试Servlet、JSP 程序的首选。
tomcat中间件漏洞复现
mingyqf的博客
02-14 3903
Apache Tomcat文件包含漏洞CVE-2020-1938 一、漏洞描述 TomcatApache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。 二、漏洞危害等级 高 三、影响版本 Apache Tomcat 6 Tomcat 7系列 <7.0.100 To
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 500
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
CVE-2021-26084 tomcat漏洞修复
05-11
CVE-2021-26084是Tomcat的一个严重漏洞,攻击者可以利用此漏洞在未经授权的情况下执行任意代码或进行任意文件读取。建议尽快修复漏洞以保护您的系统。 以下是修复漏洞的步骤: 1. 升级Tomcat到最新版本。Tomcat的官方网站提供了最新版本的下载链接和安装指南。您可以访问https://tomcat.apache.org/下载最新版本。 2. 如果您无法立即升级Tomcat,您可以应用官方提供的补丁程序来修复漏洞Tomcat的官方网站提供了适用于不同版本的补丁程序。您可以访问https://tomcat.apache.org/security-11.html(Tomcat 9和10)或https://tomcat.apache.org/security-8.html(Tomcat 8)获取补丁程序。 3. 检查您的Tomcat配置文件,确保您已禁用了“文件上传”和“文件下载”功能,以减轻攻击的风险。您可以通过编辑Tomcat的配置文件(如server.xml)来禁用这些功能。 4. 部署Web应用程序时,确保您只部署了可信的应用程序,并定期审查您的应用程序以检查漏洞和安全问题。 注意,这只是修复漏洞的一些步骤。为了最大程度地保护您的系统,您应该采取其他安全措施,如定期更新软件、启用防火墙和访问控制等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值