站长平台在官方了解到,Apache Tomcat团队今天发布公告称,Tomcat 6.x、7.x、8.x三个分支均发现安全漏洞,其中两个为重要的漏洞,建议用户尽快修复。
1. DoS漏洞
Apache Tomcat开发团队之前修复了一个DoS漏洞,但没有修复完全。
等级:重要
受影响版本:
- Apache Tomcat 8.0.0-RC1 ~ 8.0.0-RC5
- Apache Tomcat 7.0.0 ~ 7.0.47
- Apache Tomcat 6.0.0 ~ 6.0.37
2. 信息泄露漏洞
Apache Tomcat开发团队之前修复了一个信息泄露漏洞,但没有修复完全。
等级:重要
受影响版本:
- Apache Tomcat 8.0.0-RC1
- Apache Tomcat 7.0.0 ~ 7.0.42
- Apache Tomcat 6.0.0 ~ 6.0.37
3. XXE信息泄露漏洞
当运行不受信任的Web应用时,通过XXE可导致信息泄露问题。
等级:低
受影响版本:
- Apache Tomcat 8.0.0-RC1 ~ 8.0.0-RC5
- Apache Tomcat 7.0.0 ~ 7.0.47
- Apache Tomcat 6.0.0 ~ 6.0.37
4. 会话确定攻击漏洞
当启用disableURLRewriting后,可能会导致会话确定(Session fixation)——攻击者为受害者确定一个会话ID从而达到攻击的目的。
等级:低
受影响版本:
- Apache Tomcat 6.0.33 ~ 6.0.37
修复方法
Apache Tomcat最新版本中修复了这些漏洞,请升级至如下版本。
- 升级至Apache Tomcat 8.0.0-RC10或更新版本
- 升级至Apache Tomcat 7.0.50或更新版本
- 升级至Apache Tomcat 6.0.39或更新版本