Apache Tomcat 修复多个重要的安全漏洞

聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

Apache软件基金会(ASF)发布安全更新,修复了Tomcat应用服务器中的多个漏洞,其中一个漏洞可导致远程攻击者获取敏感信息。

Apache Tomcat 是一款开源 web 服务器和伺服小程序系统,使用多个 Java EE 标准如 Java Servlet、JavaServerPages (JSP)、ExpressionLanguage 和 WebSocket,并为Java 概念运行提供了一个“纯净的 Java”HTTPweb 服务器环境。

和去年年末黑客利用 Apache Struts2 漏洞攻陷美国征信公司 Equifax 系统不同,新的 Apache Tomcat 漏洞不太可能遭在野利用。

信息泄露漏洞

Apache Tomcat 中最严重的漏洞 (CVE-2018-8037) 是一个信息泄露漏洞,由于跟踪连接关闭时的错误导致新连接中用户会话遭重用。

这个漏洞被评为“重要”级别,Dmitry Treskunov 于2018年6月16日告知 Apache Tomcat 安全团队,并于2018年7月22日被公开。该缺陷影响 Tomcat 版本9.0.0.M9 至9.0.9 版本以及8.5.5至8.5.31 版本,已在 Tomcat 9.0.10 和8.5.32 中被修复。

拒绝服务漏洞

另外一个重要漏洞 CVE-2018-1336 存在于 UTF-8 译码器中,可导致拒绝服务条件。研究人员表示,对带有补充字符的 UTF-8 解码器的溢出处理不当会导致解码器产生无限循环,从而导致拒绝服务。

软件更新(补丁)

该漏洞影响 Tomcat 版本7.0.x、8.0.x、8.5.x,并且已经在 Tomcat 版本 9.0.7、8.5.32、8.0.52 和 7.0.90 中予以修复。

Apache 软件基金会还推出解决了一个低危的限制绕过问题 (CVE-2018-8034) 的补丁,它是由于在使用 WebSocket 客户端的 TLS 时缺少主机名验证而发生的。

强烈建议管理员尽快应用软件更新,并建议仅允许受信任用户访问网络以及监视受影响的系统。Apache 软件基金会表示并未发现漏洞遭利用的情况。

https://thehackernews.com/2018/07/apache-tomcat-server.html

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180725B1N1WA00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券