Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。
1. CVE-2014-0095:DoS(拒绝服务)漏洞
如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。
受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3
2. CVE-2014-0075:DoS(拒绝服务)漏洞
攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致DoS攻击。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
3. CVE-2014-0096:信息泄露漏洞
默认的servlet可以让Web应用程序定义一个XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和Web应用程序一样的约束条件,使得恶意Web应用通过使用外部XML来绕过安全限制。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
4. CVE-2014-0097:信息泄露漏洞
用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
5. CVE-2014-0119:信息泄露漏洞
在特定情况下,恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD(标签库描述符)和标签插件配置文件,注入的XML解析器可能会绕过针对XML外部实体的限制。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.5
- Apache Tomcat 7.0.0~7.0.53
- Apache Tomcat 6.0.0~6.0.39
解决方法:
各分支产品升级至最新的版本。
- Tomcat 8.x分支升级至Tomcat 8.0.8或更新版本
- Tomcat 7.x分支升级至Tomcat 7.0.54或更新版本
- Tomcat 6.x分支升级至Tomcat 6.0.41或更新版本
下载地址:http://tomcat.apache.org/
下面来看看那些年被曝出Tomcat漏洞。
- 2014年2月26日:Tomcat 全系安全漏洞,请尽快修复
- 2012年12月5日: Apache Tomcat 再爆严重安全漏洞
- 2012年11月6日: Apache Tomcat 曝出拒绝服务漏洞和身份验证漏洞
- 2012年1月18日: Apache Tomcat发布重要安全公告,曝信息泄露及DoS漏洞
- 2011年12月29日: Apache曝HashTable碰撞拒绝服务漏洞
- 2011年8月30日: Apache Tomcat 再曝严重安全漏洞
- 2011年7月14日: Tomcat 又曝安全漏洞,危及全系
- 2011年6月28日: Apache Tomcat 曝安全漏洞 5.x ~ 7.x 版本受影响
相关推荐
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
jboss4版本下,jbossweb-tomcat55.sar升级包,修复Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439) 升级包中的jar来源于tomcat5.5.36 使用方法:直接替换jboss中旧的jbossweb-tomcat55.sar
apache Tomcat 漏洞
开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-windows-x86开发工具 apache-tomcat-8.0.41-...
Apache Tomcat 6高级编程part1
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器...
Apache_Tomcat存在安全限制绕过的漏洞预警 更新版本下载(漏洞修复后版本)
2020 年 2 月 4 日,Apache Tomcat 官方发布了新的版本,该版本修复了一 个影响所有版本(7.*、8.*、9.*)的文件包含漏洞,但官方暂未发布安全公告 2020 年 2 月 20 日,CNVD 发布了漏洞公告,对应漏洞编号:CNVD-...
Apache Tomcat 软件是Jakarta Servlet、 Jakarta Server Pages、 Jakarta Expression Language、 Jakarta WebSocket、 Jakarta Annotations和 Jakarta Authentication 规范的开源实现 。 压缩包内容: apache-...
Apache tomcat6.0 java开发工具 Apache tomcat6.0 Apache tomcat6.0
Apache Tomcat 最新源代码Apache Tomcat 最新源代码Apache Tomcat 最新源代码Apache Tomcat 最新源代码Apache Tomcat 最新源代码Apache Tomcat 最新源代码Apache Tomcat 最新源代码Apache Tomcat 最新源代码Apache ...
apache-tomcat-7.0.53apache-tomcat-7.0.53apache-tomcat-7.0.53apache-tomcat-7.0.53
Apache Tomcat6.0.32 API 参考手册,从官方源代码包中的javadoc中提取。
Apache Tomcat is an open source software implementation of the Java Servlet and JavaServer Pages technologies. The Java Servlet and JavaServer Pages specifications are developed under the Java ...
apache-tomcat8.5.51-windows和linux版本安全版本
Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和...
apache-tomcat-9.0.6 apache-tomcat-9.0.6 apache-tomcat-9.0.6 apache-tomcat-9.0.6 apache-tomcat-9.0.6 apache-tomcat-9.0.6 apache-tomcat-9.0.6 apache-tomcat-9.0.6 apache-tomcat-9.0.6 apache-...
apache-tomcat-9.0.45-windows-x64apache-tomcat-9.0.45-windows-x64apache-tomcat-9.0.45-windows-x64apache-tomcat-9.0.45-windows-x64apache-tomcat-9.0.45-windows-x64apache-tomcat-9.0.45-windows-x64apache-...
apache tomcat 5.5.20apache tomcat 5.5.20apache tomcat 5.5.20apache tomcat 5.5.20apache tomcat 5.5.20
Apache Tomcat 8.x is the current focus of development, It builds upon the improvements made in Tomcat 7.0.x and implements the Servlet 3.1, JSP 2.3, EL 3.0 and Web Socket 1.0 specifications....