【漏洞通告】Tomcat高危漏洞

1.综述

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。

Tomcat官方发布了7月份最新的安全通告，其中包含两个高危漏洞，Tomcat拒绝服务漏洞（CVE-2018-1336）、信息泄露漏洞( CVE-2018-8037）。

2.漏洞概述

漏洞类型：拒绝服务漏洞、信息泄露漏洞

危险等级： 高危

利用条件： Tomcat在受影响版本内

受影响系统：Tomcat 9.0.0.M9 - 9.0.7

Tomcat 8.5.0 - 8.5.30

Tomcat 8.0.0.RC1 - 8.0.51

Tomcat 7.0.28 - 7.0.86

3.漏洞编号

CVE-2018-1336Tomcat拒绝服务漏洞

CVE-2018-8037Tomcat信息泄露漏洞

4.漏洞描述

Tomcat官方发布了7月份最新的安全通告，其中包含两个高危漏洞，Tomcat拒绝服务漏洞（CVE-2018-1336）、信息泄露漏洞( CVE-2018-8037）。

Tomcat拒绝服务漏洞（CVE-2018-1336）是由于 UTF-8 解码器存在溢出漏洞，解码器对输入字符处理不当会导致其陷入死循环中，从而造成拒绝服务攻击。

Tomcat信息泄露漏洞( CVE-2018-8037）是由于连接跟踪机制中的一个BUG而产生，该漏洞将允许攻击者在新的会话连接中再次使用之前用户的会话凭证，从而造成用户信息泄露。

5.修复建议

Tomcat官方已经在7月份的补丁中修复了这两个漏洞，建议受影响的用户尽快升级更新进行防护。

下载地址： https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-70.cgi

参考链接：