Apache Tomcat全系再曝严重安全漏洞
来源:互联网 发布:恶作剧吓人软件 编辑:程序博客网 时间:2024/04/30 07:19
Apache Tomcat全系产品再次爆出严重的安全漏洞,其中包括2个DoS漏洞和3个信息泄露漏洞。
1. CVE-2014-0095:DoS(拒绝服务)漏洞
如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。
受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3
2. CVE-2014-0075:DoS(拒绝服务)漏洞
攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致DoS攻击。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
3. CVE-2014-0096:信息泄露漏洞
默认的servlet可以让Web应用程序定义一个XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和Web应用程序一样的约束条件,使得恶意Web应用通过使用外部XML来绕过安全限制。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
4. CVE-2014-0097:信息泄露漏洞
用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.3
- Apache Tomcat 7.0.0~7.0.52
- Apache Tomcat 6.0.0~6.0.39
5. CVE-2014-0119:信息泄露漏洞
在特定情况下,恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD(标签库描述符)和标签插件配置文件,注入的XML解析器可能会绕过针对XML外部实体的限制。
受影响版本:
- Apache Tomcat 8.0.0-RC1~8.0.5
- Apache Tomcat 7.0.0~7.0.53
- Apache Tomcat 6.0.0~6.0.39
解决方法
各分支产品升级至最新的版本。
- Tomcat 8.x分支升级至Tomcat 8.0.8或更新版本
- Tomcat 7.x分支升级至Tomcat 7.0.54或更新版本
- Tomcat 6.x分支升级至Tomcat 6.0.41或更新版本
0 0
- Apache Tomcat全系再曝严重安全漏洞
- Hotmail发现严重安全漏洞
- Phpwind出现严重安全漏洞
- OpenSSL严重安全漏洞CCS
- RealVNC 4.1发现严重安全漏洞
- RealVNC 4.1发现严重安全漏洞
- RealVNC 4.1发现严重安全漏洞
- RealVNC 4.1发现严重安全漏洞
- RealVNC 4.1发现严重安全漏洞
- RealVNC 4.1发现严重安全漏洞
- RealVNC 4.1发现严重安全漏洞
- 小米手机电商主站严重安全漏洞
- USB接口爆发严重安全漏洞
- FreeTextBox中存在一个严重的安全漏洞
- 微软IIS被发现一个严重安全漏洞
- 甲骨文紧急修复WebLogic严重安全漏洞
- iOS出现了严重的安全漏洞
- CentOS下Bash严重安全漏洞修复方案
- Delphi中stringlist分割字符串的用法
- 亚马逊AWS在线系列讲座——基于AWS云平台的高可用应用设计
- javascript基础 如何选择前台技术,我选了YUI
- 6800与8080
- 更改远程连接端口
- Apache Tomcat全系再曝严重安全漏洞
- 二十岁出头,你一无所有,但你却拥有一切,因为你还有牛逼的梦想
- ArcGIS教程:使用表元素
- WPF绘制图形
- [译]iOS-raywenderlich翻译-AFNetworking速成教程
- retroarch cores
- 【无优化】五子棋ai算法
- 3-2单选框和 ToggleButton开关按钮
- cocos2dx常见的46中+22中动作详解