Apache已修复Apache Tomcat中的高危漏洞

近日,Apache软件基金会为Tomcat应用程序服务器推送了最新的安全更新,并修复了多个安全漏洞,其中包括一个DoS漏洞和一个信息泄露漏洞。

ApacheTomcat是一款开源的Java Servlet容器,其中实现了多种Java EE规范,包括Java Servlet、JavaServer Pages(JSP)、Java EL和WebSocket,并且提供了一个“纯Java”实现的HTTP Web服务器环境,可供Java代码运行。

据统计,Apache Tomcat目前占有的市场份额大约为60%。

Apache软件基金会修复的第一个漏洞为CVE-2018-8037,这是一个非常严重的安全漏洞,存在于服务器的连接会话关闭功能之中。一旦成功利用,该漏洞将允许攻击者在新的会话连接中再次使用之前用户的会话凭证。Tomcat v9.0.0.M9到v9.0.9以及v8.5.5到v.5.31都将受到该漏洞的影响,不过最新发布的Tomcat v9.0.10和v8.5.32已经成功修复了该漏洞。

Apache软件基金会修复的第二个漏洞为CVE-2018-1336,这个漏洞是存在于UTF-8解码器中的溢出漏洞,如果攻击者向解码器传入特殊参数的话,将有可能导致解码器陷入死循环,并出现拒绝服务的情况。受该漏洞影响的Tomcat版本有v7.0.x、v8.0.x、v8.5.x和v9.0.x,而v9.0.7、v8.5.32、v8.0.52和v7.0.90版本已经成功修复了该漏洞。

除了之前两个漏洞之外,Apache软件基金会还修复了一个低危的安全限制绕过漏洞,漏洞编号为CVE-2018-8034。根据安全公告中的内容,该漏洞之所以存在,是因为服务器在使用TLS和WebSocket客户端时缺少对主机名的有效性验证。该漏洞目前已经在最新的Tomcat v7.0.x、v8.0.x、v8.5.x和v9.0.x版本中成功修复。

US-CERT目前也已经给用户推送了漏洞安全警告,并敦促相关用户尽快修复该漏洞。

不过安全研究人员表示,目前还没有发现有攻击者利用这些漏洞来实施攻击。但是需要注意的是,这两个漏洞最终都将导致攻击者在目标服务器上实现任意代码执行。

* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-07-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java帮帮-微信公众号-技术文章全总结

day01.互联网架构/Linux/YUM 【大数据教程】

day01.互联网架构/Linux/YUM 一、大型互联网架构演变历程 1. 淘宝技术这10年 1.1. 淘宝现状 高并发已经成为当前互联网企业面临的巨大挑...

3747
来自专栏编程直播室

折腾git pages+hexo+NexT初识hexo开始本地试运行准备服务器准备上传工具先告一段落发表文章主题

2186
来自专栏架构师小秘圈

微服务架构实施原理

2633
来自专栏CSDN技术头条

Java 程序如何正确地打日志

我们 Java 程序员在开发项目时都是依赖 Eclipse/ Idea 等开发工具的 Debug 调试功能来跟踪解决 Bug,在开发环境可以这么做,但项目发布到...

1243
来自专栏杨建荣的学习笔记

MySQL 5.6, 5.7并行复制测试(r12笔记第9天)

对于主从延迟,其实一直以来就是一个颇有争议的话题,在MySQL阵营中,如果容忍一定的延迟的场景,通过主从来达到读写分离是个很不错的方案,但是延迟率到底有多...

4188
来自专栏逸鹏说道

Web Api 入门实战 (快速入门+工具使用+不依赖IIS)

平台之大势何人能挡? 带着你的Net飞奔吧!:http://www.cnblogs.com/dunitian/p/4822808.html 屁话我也就不多说了,...

3555
来自专栏小白课代表

百度又作妖,不能匿名下载分享链接?看看这些解决方案。

就这两天,百度网盘再次调整下载接口和规则,导致分享出来的文件链接如果不登录的话,不能下载,你说你一个网盘怎么这么不务正业,天天想着怎么不让用户使用呢!

7593
来自专栏java达人

web安全简易规范123

web安全,大公司往往有专门的安全开发流程去保证,有专门的安全团队去维护,而对于中小网络公司,本身体量小,开发同时兼带运维工作,时间精力有限,但是,同样需要做一...

940
来自专栏Linyb极客之路

微服务架构:基于微服务和Docker容器技术的PaaS云平台架构设计(微服务架构实施原理)

基于微服务架构和Docker容器技术的PaaS云平台建设目标是给我们的开发人员提供一套服务快速开发、部署、运维管理、持续开发持续集成的流程。平台提供基础设...

3711
来自专栏SDNLAB

ONOS 实战分享(一):项目建立、调试到热部署

以上是ONOS的架构图,相信大家已经熟记于心了 本文将在Distributed Core Tier,以开发一个控制器内的模块为例,带领大家从项目的建立,导入I...

4497

扫码关注云+社区

领取腾讯云代金券