Apache Tomcat 信息泄露漏洞(CVE-2016-8747)

最新推荐文章于 2024-06-03 15:39:32 发布
最新推荐文章于 2024-06-03 15:39:32 发布
阅读量1.5k 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/111908
版权

重要程度:中等

受影响的版本:

Apache Tomcat 9.0.0.m11 到 9.0.0.m15

Apache Tomcat 8.5.7 到 8.5.9

描述:

为更广泛地使用 ByteBuffer,在重构时引入了一种回归,可能会导致信息在同一连接上的请求之间泄漏。 当在逆向代理之后运行时,可能会导致用户之间的信息泄漏。 所有的 HTTP HTTP connector variants 都会受到影响,HTTP / 2 和 AJP 不受影响。

解决方案:

受影响的用户应:

升级到 Apache Tomcat 9.0.0.M17 或更高版本(Apache Tomcat 9.0.0.M16 已有修复,但未发布)

升级到 Apache Tomcat 8.5.11 或更高版本(Apache Tomcat 8.5.10 已有修复,但未发布)

更早期版本不受影响

本文来自开源中国社区 [http://www.oschina.net]

生产的驴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
APACHE TOMCAT 重要信息暴露
01-18
ugtraq id 1532 class Design Error cve GENERIC-MAP-NOMATCH remote Yes local No published July 20, 2000 updated August 02, 2000 vulnerable Apache Group Tomcat 3.1
腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞
09-25
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞CVE-2017-12616)、远程代码执行漏洞CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
漏洞预警|Apache Tomcat 信息泄露漏洞
LJQClqjc的博客
03-28 1186
TomcatApache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费。成为目前比较流行的Web 应用服务器。
tomcat系列漏洞利用
最新发布
2401_84488537的博客
06-03 1374
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用。主要组件:服务器Server,服务Service,连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起,加上其他一些支持的组件共同组成一个Service服务,有了Service服务便可以对外提供能力了。
Tomcat 又爆出高危漏洞Tomcat 8.5 ~ 10 中招…
芒果不是程序猿v:lemon-hanwa 的博客
12-10 2744
开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。 不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。 光这半年以来,所知道的就有 Dubbo、FastJSON、Tomcat: 前段时间这个 Tomcat AJP 协议漏洞大开,2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝服务漏洞: http://mail-archives.apache.org/mod_
Tomcat 又爆出高危漏洞Tomcat 8.5~10 中招…
CSDN资讯
07-03 1万+
作者 | 栈长来源 | Java技术栈开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏...
Apache全版本存在漏洞
weixin_30322405的博客
08-28 844
国外抄来的,这个漏洞可以停止所有的Apache服务器,不知道有人发过没。也没有经过测试,有兴趣的朋友可以测试一下!E文不懂不要紧,你不知道,google知道! ------------------------------------- 下面是原文: Hi This Exploit can Stop all apache in server then you can connect by ne...
CVE-2020-1938.zip
04-15
CVE-2020-1938:Apache Tomcat AJP协议远程代码执行漏洞CVE-2020-1938是Apache Tomcat服务器中的一个严重安全漏洞,该漏洞允许攻击者通过AJP(Apache JServ Protocol)接口来实现远程代码执行,从而对目标系统...
apache-tomcat-7.0.109版本
09-23
在这个特定的场景中,我们关注的是Apache Tomcat的7.0.109版本,这个版本的发布主要是为了修复一系列的安全漏洞,其中最引人关注的是CVE-2020-1938。 CVE-2020-1938是2020年公开的一个严重安全漏洞,被称为“Tomcat...
CVE-POC:CVE的一些POC
05-11
CVE-POC CNVD-2021-10543 MessageSolution 企业邮件归档管理系统 EEA 存在信息泄露漏洞 CVE-2020-1938 Apache Tomcat文件包含漏洞
Tomcat信息泄露漏洞
lch_pp的博客
09-11 952
6.删除原来的tomcat8和tomcat,并将新apache-tomcat-8.5.87改为原始的tomcattomcat8,并删除删除新webapps下的examples(示例)# 7.把旧的server.xml;# 1.选择无漏洞的版本,https://tomcat.apache.org/download-80.cgi。# 4.复制旧的tomcattomcat-old下。# 3.备份旧的tomcat。# 5.解压新的tomcat
Tomcat常见漏洞复现
可爱的我可爱的code
11-20 2856
欢迎到我的小博客站光顾:www.xpshuai.cn 后台管理页面弱口令 默认:http://127.0.0.1:8080/manager/html页面只允许本地访问,除非管理员手工修改了这些属性 1.尝试登录后台 1.尝试默认账户密码:tomcat:tomcat 2.如果不是,尝试用弱口令字典进行爆破 # hydra爆破manager后台 hydra -L user.txt -P user.txt -f 10.10.10.81 -s 8080 http-get /manager/html 2.部署w.
Apache Tomcat信息泄露漏洞(CVE-2016-8745)
weixin_33885253的博客
02-15 2477
10.4.62.91 10.4.62.92 10.4.62.93 10.4.62.94Apache Tomcat信息泄露漏洞(CVE-2016-8745):可通过HTTP获取远端WWW服务信息发布时间:2016-12-12重要程度:重要受影响的版本:Apache Tomcat 9.0.0.m1到9.0.0.m13Apache Tomcat 8.5.0到8.5.8...
CVE-2016-6816CVE-2016-8735、CVE-2016-8745、CVE-2017-5647
小徕虫的博客
01-21 7446
Tomcat 升级 版本信息 当前环境中用的是 6.0.47 发现漏洞 Apache Tomcat 安全限制绕过漏洞(CVE-2016-8735) Apache Tomcat 安全漏洞CVE-2017-5647) Apache Tomcat信息泄露漏洞(CVE-2016-8745) Apache Tomcat 安全限制绕过漏洞(CVE-2016-6816) 漏洞信息 CVE-2017-5...
2016-12-13
xiongvvvxiong的博客
12-13 388
今天的工作主要分为以下几部分: 1. 完成tensorflow对于mnist的实验,今天新学到的知识是如何添加summary, 可以根据不同的值类型来选择添加不同的summary. 之后利用summary = tf.summary.merge_all() 将所有的summary结合起来,之后可以sess.run(summary)返回相应的object. 并且新建summarywriter用于把得
Tomcat中间件版本信息泄露
K1nney的博客
03-02 2931
中间件版本信息泄露
Apache Tomcat安全漏洞列表及整改建议合集
热门推荐
story-xu的博客
08-08 1万+
描述: 安全整改目前已经成为安全运维工程师必备的技能之一,但是令人头疼的是,经常会应为一些整改问题,百度无数次,并且不知道标准是什么。下面就为大家总结了在近期web漏洞整改中,绿盟给出的漏洞报告及整改建议,方便大家参考与查找。 问题列表及整改建议列表: ...
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 406
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
渗透测试tomcat错误信息泄露解决办法
huan1213858的博客
10-23 1159
showServerInfo:如果发生任何错误,用于在错误页面上显示当前服务器标志(默认true)showReport:如果发生错误用于返回错误页面的错误信息和状态码(默认true)1、使用tomcat8.5.16,会重定向非法url到登录url。2、配置server.xml,加上。3.项目web.xml配置。状态码4.1跳转到指定页面。
Apache Tomcat 安全漏洞(CVE-2021-25329)
07-13
CVE-2021-25329 是 Apache Tomcat 服务器的一个安全漏洞,它影响了 Tomcat 9.0.0.M1 到 9.0.42 版本。该漏洞可以导致远程攻击者能够通过精心构造的请求,绕过访问控制限制,访问受限资源。 为了修复这个安全漏洞,请确保您的 Apache Tomcat 服务器升级到最新的版本。Apache Tomcat 团队已经发布了修复该漏洞的补丁版本,您可以从官方网站下载并安装最新的 Tomcat 版本。 另外,为了保护您的服务器免受潜在的攻击,还可以考虑以下建议: 1. 及时更新:确保您的 Apache Tomcat 服务器及相关软件都及时更新到最新版本,以获取最新的安全修复和功能改进。 2. 强化访问控制:审查和加强您的访问控制策略,限制对敏感资源的访问,并仅允许经过授权的用户或IP地址进行访问。 3. 配置安全性选项:根据最佳实践和安全建议,配置 Apache Tomcat 服务器的安全性选项,例如启用 SSL/TLS 加密、强密码策略等。 4. 安全审计和监控:定期进行安全审计和监控,及时检测和响应任何异常或可疑活动。 5. 安全意识培训:提高运维人员和开发人员的安全意识,教育他们关于安全最佳实践和常见攻击技术的知识。 请注意,以上建议仅供参考,具体的安全措施应根据您的具体环境和需求进行评估和实施。建议在升级或修改配置之前,先在测试环境中进行测试,确保没有不良影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值