Apache Tomcat 信息泄露漏洞(CVE-2016-8745)

释放双眼,带上耳机,听听看~!

文章转载开源中国

发布时间:2016-12-12

重要程度:重要

受影响的版本:

  • Apache Tomcat 9.0.0.m1到9.0.0.m13

  • Apache Tomcat 8.5.0到8.5.8 

  • 更早期版本不受影响

描述:

8.5.x 的 Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归,因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存,这意味着处理器可以用于并发请求,共享处理器可导致请求之间的信息泄漏,包括但不限于会话ID和响应体。

解决方案:

安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决:

  • 切换到 NIO2 HTTP 或 APR HTTP 连接器

  • 禁止发送文件

  • 升级到 Apache Tomcat 9.0.0.M15 或更高版本 (Apache Tomcat 9.0.0.M14有修复,但没有发布)

  • 升级到 Apache Tomcat 8.5.9或更高版本

更多详细内容请点击这里

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

京东称数据泄露源于 Struts 安全漏洞,已在 2013 年修复

2016-12-11 11:12:22

安全漏洞

新 0-Day 漏洞或将给 Linux 桌面发行版带来浩劫

2016-12-18 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索