近日,Apache软件基金会为Tomcat应用程序服务器推送了最新的安全更新,并修复了多个安全漏洞,其中包括一个DoS漏洞和一个信息泄露漏洞。
ApacheTomcat是一款开源的Java Servlet容器,其中实现了多种Java EE规范,包括Java Servlet、JavaServer Pages(JSP)、Java EL和WebSocket,并且提供了一个“纯Java”实现的HTTP Web服务器环境,可供 Java 代码运行。
据统计,Apache Tomcat目前占有的市场份额大约为60%。
Apache软件基金会修复的第一个漏洞为 CVE-2018-8037 ,这是一个非常严重的安全漏洞,存在于服务器的连接会话关闭功能之中。一旦成功利用,该漏洞将允许攻击者在新的会话连接中再次使用之前用户的会话凭证。Tomcat v9.0.0.M9到v9.0.9以及v8.5.5到v.5.31都将受到该漏洞的影响,不过最新发布的Tomcat v9.0.10和v8.5.32已经成功修复了该漏洞。
Apache软件基金会修复的第二个漏洞为 CVE-2018-1336 ,这个漏洞是存在于UTF-8解码器中的溢出漏洞,如果攻击者向解码器传入特殊参数的话,将有可能导致解码器陷入死循环,并出现拒绝服务的情况。受该漏洞影响的Tomcat版本有v7.0.x、v8.0.x、v8.5.x和v9.0.x,而v9.0.7、v8.5.32、v8.0.52和v7.0.90版本已经成功修复了该漏洞。
除了之前两个漏洞之外,Apache软件基金会还修复了一个低危的安全限制绕过漏洞,漏洞编号为 CVE-2018-8034 。根据安全公告中的内容,该漏洞之所以存在,是因为服务器在使用TLS和WebSocket客户端时缺少对主机名的有效性验证。该漏洞目前已经在最新的Tomcat v7.0.x、v8.0.x、v8.5.x和v9.0.x版本中成功修复。
US-CERT目前也已经给用户推送了漏洞安全警告,并敦促相关用户尽快修复该漏洞。
不过安全研究人员表示,目前还没有发现有攻击者利用这些漏洞来实施攻击。但是需要注意的是,这两个漏洞最终都将导致攻击者在目标服务器上实现任意代码执行。
* 参考来源: securityaffairs ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《Apache已修复Apache Tomcat中的高危漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- struts2架构网站漏洞修复详情与利用漏洞修复方案
- 如何做好漏洞管理的漏洞修复工作
- phpcms网站漏洞修复之远程代码写入缓存漏洞利用
- 系统漏洞及修复汇总
- 中间件漏洞及修复汇总
- WEB应用漏洞及修复汇总
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
PERL學習手札.
簡信昌 / 上奇科技 / 20040816 / NT$ 390
1. 關於Perl 當你翻開這本書的時候,你也就進入了一個奇幻的世界。Perl確實是一種非常吸引人的程式語言,而之所以這麼引人入勝的原因不單單在於他的功能,也在於他寫作的方式,或說成為一種程式寫作的藝術。即使你只是每天埋首於程式寫作的程式設計師,也不再讓生活過份單調,至少你可以嘗試在程式碼中多一些變化。而且許多Perl的程式設計師已經這麼作了,這也是Perl的理念-「There is mor......一起来看看 《PERL學習手札.》 这本书的介绍吧!