Apache Tomcat 全系爆安全漏洞 (5.x ~ 7.x)

释放双眼,带上耳机,听听看~!

文章转载开源中国

CVE-2011-2204 Apache Tomcat 信息泄漏

安全级别: 低

影响的版本:
– Tomcat 7.0.0 to 7.0.16
– Tomcat 6.0.0 to 6.0.32
– Tomcat 5.5.0 to 5.5.33

更早的版本也有可能受影响。

漏洞描述:

当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时,如果异常发生,那么在 JMX 的客户端上的错误提示将会包含用户的密码,这个错误信息同时也会写到 Tomcat 的日志文件中。

重现此漏洞的步骤:

Tomcat 安全团队很难重现这个问题,以至于他们不得不修改 Tomcat 源码,让它直接抛出一个异常出来。另外理论上,一个 OutOfMemoryError 会直接导致这个漏洞的发生。

解决的办法:

– 不通过 JMX 来管理 MemoryUserDatabase
– 使用摘要密码
– 限制 Tomcat 日志文件的访问
– 升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本
– 打补丁:
  – 7.0.x: http://svn.apache.org/viewvc?rev=1140070&view=rev
  – 6.0.x: http://svn.apache.org/viewvc?rev=1140071&view=rev
  – 5.5.x: http://svn.apache.org/viewvc?rev=1140072&view=rev

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Nessus 4.4.1 发布,漏洞扫描程序

2011-4-30 11:12:22

安全漏洞

phpMyAdmin 3.4.3.1 发布,修复安全漏洞

2011-7-3 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索