Apache Tomcat修补了重要的安全漏洞

Apache Software Foundation（ASF）发布了安全更新，以解决其Tomcat应用服务器中的多个漏洞，其中一个漏洞可能允许远程攻击者获取敏感信息。

Apache Tomcat是一个开源Web服务器和servlet系统，它使用Java Servlet，JavaServer Pages（JSP），Expression Language和WebSocket等多个Java EE规范，并为Java概念提供“纯Java”HTTP Web服务器环境中。

与Apache Struts2漏洞不同的是，在去年年底入侵美国信用报告机构Equifax的漏洞，新的Apache Tomcat漏洞在野生环境中不太可能被利用。

Apache Tomcat - 信息泄露漏洞

Apache Tomcat中最关键的缺陷(CVE-2018-8037)是由于跟踪连接闭包的错误而导致的信息公开漏洞，这可能导致在新连接中重用用户会话

该漏洞标记为重要，由Dmitry Treskunov于2018年6月16日向Apache Tomcat安全小组报告，并于2018年7月22日公布。

该漏洞影响Tomcat版本9.0.0.M9至9.0.9和8.5.5至8.5 .31，它已在Tomcat 9.0.10和8.5.32中修复。

Apache Tomcat - 拒绝服务（DoS）漏洞

Apache Tomcat中 另一个被视为CVE-2018-1336的重要漏洞存在于UTF-8解码器中，可能导致拒绝服务（DoS）情况。

Apache软件基金会在其公告中表示，“UTF-8解码器中带有补充字符的溢出处理不当会导致解码器无限循环，导致拒绝服务”。

Apache Tomcat服务器软件更新（补丁）

该漏洞影响Tomcat版本7.0.x，8.0.x，8.5.x和9.0.x，并已在Tomcat版本9.0.7,8.5.32,8.0.52和7.0.90中得到解决。

Apache Software Foundation还在最新的Tomcat版本中包含了一个安全补丁，用于解决低严重性安全约束绕过错误（CVE-2018-8034），这是由于在使用TLS与WebSocket客户端时缺少主机名验证而发生的。

强烈建议管理员尽快应用软件更新，并建议仅允许受信任的用户访问网络以及监视受影响的系统。

Apache软件基金会表示，它没有发现任何利用这些Apache Tomcat漏洞的事件。

远程攻击者可以利用其中一个漏洞获取敏感信息。