Apache Tomcat修补了重要的安全漏洞

Apache Software Foundation(ASF)发布了安全更新,以解决其Tomcat应用服务器中的多个漏洞,其中一个漏洞可能允许远程攻击者获取敏感信息。

Apache Tomcat是一个开源Web服务器和servlet系统,它使用Java Servlet,JavaServer Pages(JSP),Expression Language和WebSocket等多个Java EE规范,并为Java概念提供“纯Java”HTTP Web服务器环境中。

与Apache Struts2漏洞不同的是,在去年年底入侵美国信用报告机构Equifax的漏洞,新的Apache Tomcat漏洞在野生环境中不太可能被利用。

Apache Tomcat - 信息泄露漏洞

Apache Tomcat中最关键的缺陷(CVE-2018-8037)是由于跟踪连接闭包的错误而导致的信息公开漏洞,这可能导致在新连接中重用用户会话

该漏洞标记为重要,由Dmitry Treskunov于2018年6月16日向Apache Tomcat安全小组报告,并于2018年7月22日公布。

该漏洞影响Tomcat版本9.0.0.M9至9.0.9和8.5.5至8.5 .31,它已在Tomcat 9.0.10和8.5.32中修复。

Apache Tomcat - 拒绝服务(DoS)漏洞

Apache Tomcat中 另一个被视为CVE-2018-1336的重要漏洞存在于UTF-8解码器中,可能导致拒绝服务(DoS)情况。

Apache软件基金会在其公告中表示,“UTF-8解码器中带有补充字符的溢出处理不当会导致解码器无限循环,导致拒绝服务”。

Apache Tomcat服务器软件更新(补丁)

该漏洞影响Tomcat版本7.0.x,8.0.x,8.5.x和9.0.x,并已在Tomcat版本9.0.7,8.5.32,8.0.52和7.0.90中得到解决。

Apache Software Foundation还在最新的Tomcat版本中包含了一个安全补丁,用于解决低严重性安全约束绕过错误(CVE-2018-8034),这是由于在使用TLS与WebSocket客户端时缺少主机名验证而发生的。

强烈建议管理员尽快应用软件更新,并建议仅允许受信任的用户访问网络以及监视受影响的系统。

Apache软件基金会表示,它没有发现任何利用这些Apache Tomcat漏洞的事件。

远程攻击者可以利用其中一个漏洞获取敏感信息。

  • 发表于:
  • 原文链接:https://thehackernews.com/2018/07/apache-tomcat-server.html

扫码关注云+社区

领取腾讯云代金券