Apache Tomcat 修复多个重要的安全漏洞

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

Apache软件基金会(ASF)发布安全更新，修复了Tomcat应用服务器中的多个漏洞，其中一个漏洞可导致远程攻击者获取敏感信息。

Apache Tomcat 是一款开源 web 服务器和伺服小程序系统，使用多个 Java EE 标准如 Java Servlet、JavaServerPages (JSP)、ExpressionLanguage 和 WebSocket，并为Java 概念运行提供了一个“纯净的 Java”HTTPweb 服务器环境。

和去年年末黑客利用 Apache Struts2 漏洞攻陷美国征信公司 Equifax 系统不同，新的 Apache Tomcat 漏洞不太可能遭在野利用。

信息泄露漏洞

Apache Tomcat 中最严重的漏洞 (CVE-2018-8037) 是一个信息泄露漏洞，由于跟踪连接关闭时的错误导致新连接中用户会话遭重用。

这个漏洞被评为“重要”级别，Dmitry Treskunov 于2018年6月16日告知 Apache Tomcat 安全团队，并于2018年7月22日被公开。该缺陷影响 Tomcat 版本9.0.0.M9 至9.0.9 版本以及8.5.5至8.5.31 版本，已在 Tomcat 9.0.10 和8.5.32 中被修复。

拒绝服务漏洞

另外一个重要漏洞 CVE-2018-1336 存在于 UTF-8 译码器中，可导致拒绝服务条件。研究人员表示，对带有补充字符的 UTF-8 解码器的溢出处理不当会导致解码器产生无限循环，从而导致拒绝服务。

软件更新（补丁）

该漏洞影响 Tomcat 版本7.0.x、8.0.x、8.5.x，并且已经在 Tomcat 版本 9.0.7、8.5.32、8.0.52 和 7.0.90 中予以修复。

Apache 软件基金会还推出解决了一个低危的限制绕过问题 (CVE-2018-8034) 的补丁，它是由于在使用 WebSocket 客户端的 TLS 时缺少主机名验证而发生的。

强烈建议管理员尽快应用软件更新，并建议仅允许受信任用户访问网络以及监视受影响的系统。Apache 软件基金会表示并未发现漏洞遭利用的情况。

https://thehackernews.com/2018/07/apache-tomcat-server.html