服务器信息泄漏漏洞,云安全日报210302:Apache Tomcat应用服务器发现信息泄露漏洞,需要尽快升级...

最新推荐文章于 2023-07-10 18:04:48 发布
最新推荐文章于 2023-07-10 18:04:48 发布
阅读量357 收藏
点赞数
文章标签: 服务器信息泄漏漏洞

Apache HTTP Server(简称Apache)是Apache软件基金会的一个开放源码的网页(Web)服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一.Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,它是一个小型的轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用。

3月1日,Apache Tomcat安全团队发布了安全更新,修复了Tomcat中信息泄露等漏洞。以下是漏洞详情:

漏洞详情

来源:https://www.mail-archive.com/users@tomcat.apache.org/msg137185.html

CVE-2021-25122 严重程度:重要

当响应新的h2c连接请求时,Apache Tomcat可以将请求标头和数量有限的请求主体从一个请求复制到另一个请求,这意味着用户A和用户B都可以看到用户A的请求结果,从而造成信息泄露。

受影响产品和版本

Apache Tomcat 10.0.0-M1至10.0.0

Apache Tomcat 9.0.0.M1至9.0.41

Apache Tomcat 8.5.0至8.5.61

解决方案

受影响版本的用户应应用以下其中一项

升级到Apache Tomcat 10.0.2或更高版本

升级到Apache Tomcat 9.0.43或更高版本

升级到Apache Tomcat 8.5.63或更高版本

查看更多漏洞信息 以及升级请访问官网:

http://tomcat.apache.org/security.html

杏花朵朵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MS10-070ASP.NETPaddingOracle信息泄露漏洞
03-02
我记得这个漏洞在12年的时候,国内的资料还很少,...ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息泄漏漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。此漏洞还可以用于数据
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞的挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
Windows下tomcat漏洞CVE-2021-25122CVE-2021-25329修复
star的博客
07-09 8278
漏洞信息如下: 使用的tomcat版本为8.5.60。 打开解决办法中对应版本的网址:https://tomcat.apache.org/security-8.html 可以看到8.5.63及以上版本修复了这两个漏洞: 解决办法:升级tomcat到8.5.63或以上版本(不推荐升级到9及以上版本,jdk还需要检查是否对应)本例升级到到tomcat8最版本8.5.69 升级方法: 1.升级旧版本到新版本(8.5.60升级到8.5.69) 官网下载地址:https://tomcat.a..
Tomcat9版本项目适配Tomcat10版本解决方案
hangguangd的博客
10-17 1940
决定采用升级tomcat10.0.21的方案。随后在替换tomcat10.0.21版本后,发现web段页面进不去,后台启动一直无响应,info和error日志也一直不打印。查看tomcat的catlina.out日志一直报错,并且浏览器控制台一直报404! 从官网可知,官方提供了一个“转移工具(migration tool)” java -jar jakartaee-migration-x.x.x-SNAPSHOT-shaded.jar
修复Apache Tomcat 信息泄露漏洞漏洞编号:CVE-2021-24122
热门推荐
平庸
02-24 1万+
修复Apache Tomcat 信息泄露漏洞漏洞编号:CVE-2021-24122
Apache Tomcat 信息泄露及远程代码执行漏洞分析与防护
朔方飞絮谈安全
10-26 6130
ApacheTomcat都是WEB网络服务器,一般Apache是静态解析,tomcat是java应用服务器,动态解析jsp、php等,是一个容器(servlet),可以独立于apache运行。打个比方:Apache是一辆车,上面可以装东西,比如html等;但不能装水,要装水必须要有容器(桶),而这个桶也可以不放在车上,这个就是Tomcat
Tomcat爆出严重漏洞,影响所有版本,波及约8万台服务器,附解决方案!(扩散!!!)...
emprere的博客
02-24 1405
2月20日,CNVD(国家信息安全漏洞共享平台)公告知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞,攻击者可在受影响的Apache Tomcat服务器上非法读取Web...
最新版windows apache-tomcat-9.0.68-windows-x64.zip
10-26
Apache Tomcat是一款开源的Java Servlet容器,主要用于部署和运行Java Web应用程序。在Windows平台上,Tomcat的安装和配置过程相对简单,尤其是对于64位操作系统。`apache-tomcat-9.0.68-windows-x64.zip`是Apache ...
MS11-049:Microsoft XML Editor 信息泄露漏洞(2543893)(CVE-2011-1280)
02-09
远程主机上的应用程序存在信息泄露漏洞。当解析特别构建的 Web Service Discovery (.disco) 文件时,外部 XML 实体可接受不受信任的用户输入。远程攻击者可通过诱骗用户打开特别构建的 .disco 文件来利用此问题,...
启用了不安全的HTTP方法
u013673367的专栏
08-20 2009
启用了不安全的HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
Apache Tomcat 最新信息泄露漏洞CVE-2023-28708详情及解决方案,springboot版本的对应的内嵌tomcat版本查看,tomcat相关。
CJ_L1995的博客
05-20 3747
Tomcat 最新信息泄露漏洞CVE-2023-28708,解决方案。
tomcat ajp协议安全限制绕过漏洞_国家信息安全漏洞共享平台发布Apache Tomcat漏洞安全公告...
weixin_39616880的博客
12-10 127
2月22日消息 国家信息安全漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告,具体如下: 安全公告编号:CNTA-2020-0004 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)...
CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告
weixin_34270865的博客
09-21 309
一. 漏洞概述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传...
挖洞经验 | 通过Tomcat Servlet示例页面发现的Cookie信息泄露漏洞
技术超强的网络安全平台
08-17 1450
首先,来认识一下Tomcat的示例文件,它是Tomcat安装后默认显示的一些页面,其中包含了很多servlets 和 JSP的测试示例,尤其是其中的会话示例接口/examples/servlets/servlet/SessionExample和/examples/servlets/servlet/CookieExample,由于会话变量的全局性,导致攻击者可以管理员身份通过该接口对会话进行操控,存在安全风险。在与朋友就该页面进行交流之后,他的经验也让我打消了疑虑,这个点的利用也仅如此,我们继续。...
安全预警 | 知名 Web 应用服务器 Tomcat 信息泄漏和远程代码执行漏洞
静静是我女朋友
09-20 3337
原文地址:https://mp.weixin.qq.com/s/RrD8e3mpl9oRgEaf1JKKdQ?client=tim&ptlang=2052&ADUIN=1835083655&ADSESSION=1505840723&ADTAG=CLIENT.QQ.5531_.0&ADPUBNO=26692 2017年9月19日,腾讯云安全中心监测到  Apache Tomcat
Tomcat中间件版本信息泄露
K1nney的博客
03-02 2923
中间件版本信息泄露
浅谈Nginx(或LNMP)、Apache(或LAMP)、Tomcat版本信息泄露危险和修复方法
满天点点星辰的博客
04-07 4055
在使用Nginx(或lnmp)做反向代理、集群或是做跨域配置、Apache(或lamp)和Tomcat做为应用端使用时,其相关版本号和软件名称信息泄露,此时攻击者会利用相应软件版本的当前漏洞,进行有效的相应攻击。
Apache Tomcat信息泄露漏洞
m0_46459413的博客
11-02 4116
9月28日,Apache发布安全公告,公开披露了Tomcat中的一个信息泄露漏洞CVE-2021-43980)。由于某些Tomcat版本中的阻塞式读写的简化实现导致存在并发错误(极难触发),可能使客户端连接共享一个Http11Processor实例,导致响应或部分响应被错误的客户端接收,造成信息泄露Apache Tomcat 版本 >= 10.1.0-M14。Apache Tomcat 版本 >= 10.0.20。Apache Tomcat 版本 >= 8.5.78。
Apache Tomcat 信息泄露漏洞CVE-2023-28708处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-10 6285
那么Tomcat就会删除之前的War包解压的文件夹,重新解压新的War包。导致信息泄露,相关分析这是由于在请求https的时候可重定向到http连接,这个过程会导致会话劫持风险,造成Cookie或Session不安全传输,攻击者可利用该漏洞可在未授权的情况下泄漏 Cookie 或 Session,最终造成服务器敏感性信息泄露。改变,包括web-inf/class,wen-inf/lib,web-inf/web.xml等文件,若发生更改,则局部进行加载,不清空session ,不释放内存。
云安全漏洞发现和利用.pdf
05-10
"云安全漏洞发现与利用是现代IT领域的重要议题,尤其是在云计算服务日益普及的背景下。本篇文档深入探讨了在云服务中可能遇到的安全漏洞及其潜在危害。首先,章节一介绍了云服务的基本概念和常用类型,包括但不限于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值