成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

Apache Tomcat再爆嚴重安全漏洞

開發 后端
Apache Tomcat再次爆出安全漏洞,Apache Tomcat支持AJP協議,用來通過反向代理到Tomcat的請求和相關的數據,AJP協議的作用是,當一個請求包含請求主體時,一個未經允許的、包含請求主體首部分(或可能所有的)的AJP消息被發送到Tomcat。

Apache Tomcat再次爆出安全漏洞:

漏洞:CVE-2011-3190 Apache Tomcat繞過驗證和信息泄露

嚴重性:嚴重

公布方:Apache軟件基金會

受影響的版本:

Tomcat 7.0.0 ~ 7.0.20的所有版本

Tomcat 6.0.0 ~ 6.0.33的所有版本

Tomcat 5.5.0 ~ 5.5.33的所有版本

早期的已不再提供支持的版本也可能受影響

Apache Tomcat支持AJP協議,用來通過反向代理到Tomcat的請求和相關的數據,AJP協議的作用是,當一個請求包含請求主體時,一個未經允許的、包含請求主體首部分(或可能所有的)的AJP消息被發送到Tomcat。在某些情況下,Tomcat會把這個消息當作一個新的請求來處理,而不會當作請求主體。這可能導致攻擊者完全控制AJP消息,允許攻擊者:

插入已驗證用戶的名字

插入任何客戶端的IP地址(可能繞過任何客戶端IP地址的過濾)

導致用戶之間的響應混亂

下面的AJP連接器實現不會受到影響

org.apache.jk.server.JkCoyoteHandler (5.5.x - default, 6.0.x - default)

下面的AJP連接器實現會受到影響

org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x - default)

org.apache.coyote.ajp.AjpNioProtocol (7.0.x)

org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)

此外,這個問題只適用于以下都為真的情況:

POST請求被接受

請求主體沒有被處理

舉例:參見 https://issues.apache.org/bugzilla/show_bug.cgi?id=51698

解決措施:

升級Apache Tomcat到已經修復此問題的版本。

安裝相應的補丁:

- 7.0.x http://svn.apache.org/viewvc?rev=1162958&view=rev

http://svn.apache.org/viewvc?view=revision&revision=1162958

- 6.0.x http://svn.apache.org/viewvc?rev=1162959&view=rev

http://svn.apache.org/viewvc?view=revision&revision=1162959

- 5.5.x http://svn.apache.org/viewvc?rev=1162960&view=rev

http://svn.apache.org/viewvc?view=revision&revision=1162960

配置反向代理和Tomcat AJP連接器,使用requiredSecret屬性。

使用org.apache.jk.server.JkCoyoteHandler AJP連接器(不適用于 Tomcat 7.0.x)

原文:http://www.iteye.com/news/22650

【編輯推薦】

  1. Tomcat 6.0+Oracle 10g數據源連接測試詳解
  2. 使用TOMCAT連接池連接MySQL
  3. Tomcat集群和Session共享的配置方法
  4. apache+jk+tomcat負載均衡(windows系統)
  5. Apache+Tomcat集群配置詳解
責任編輯:陳貽新 來源: iteye
相關推薦

2009-09-30 11:10:31

2010-07-13 21:23:32

軟件安全安全漏洞

2014-11-04 10:23:14

2010-12-13 11:19:02

2009-12-04 19:14:50

2021-03-27 09:47:02

漏洞安全Cisco Jabbe

2010-03-09 14:54:49

2021-07-21 10:04:02

安全漏洞Windows

2017-12-19 10:15:14

2015-08-26 10:14:29

2023-07-29 11:15:47

2012-12-21 17:11:22

2009-06-01 13:45:24

2021-06-21 05:19:43

Peloton Bik安全漏洞

2020-07-27 19:23:03

安全漏洞數據

2014-04-09 10:27:29

2024-07-16 14:03:56

2010-06-08 21:14:35

2012-06-08 10:32:33

2023-05-17 18:47:45

點贊
收藏

51CTO技術棧公眾號

主站蜘蛛池模板: 欧美日韩一区二区三区视频 | 久久久久久国产精品免费免费 | 久久亚洲国产精品 | 国产a级毛片| 国产精品久久久久久一区二区三区 | 国产午夜一级 | 91麻豆精品国产91久久久更新资源速度超快 | 成人片免费看 | 99久久精品一区二区成人 | 亚洲一区中文字幕 | 亚洲精品二三区 | 国产1区 | 国产96色在线 | 最近日韩中文字幕 | 国产精品视频网站 | 亚洲综合在线播放 | 久久丁香| 亚洲国产精品久久久 | 欧美成人一区二区三区 | 伊人久久麻豆 | 在线区| 久久精品99 | 免费毛片网站在线观看 | 国产亚洲欧美在线 | 高清成人免费视频 | 国产三级一区二区 | 国产线视频精品免费观看视频 | 国产黄色av电影 | 国产一区二区三区四区 | 午夜小电影| 精品国产乱码久久久久久影片 | 亚洲欧美视频一区 | 综合久久久久久久 | 国产精品国产精品国产专区不片 | 四虎影院久久 | 国产日韩欧美一区二区在线播放 | 在线观看精品 | 国产精品视频一 | 男女视频在线观看免费 | 欧美一级久久 | yeyeav|