Apache Tomcat修复了DoS漏洞

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。

Apache Tomcat修复了DoS漏洞

Apache软件基金会周末告知用户,Tomcat应用服务器的更新可以解决多个漏洞,包括可能导致信息泄露和拒绝服务(DoS)情况的问题。

Apache Tomcat是Java Servlet,JavaServer Pages(JSP),Java WebSocket和Java Expression Language技术的开源实现。Tomcat是使用最广泛的Web应用程序服务器,市场份额超过60%。

其中一个更严重的缺陷是CVE-2018-8037,它影响Tomcat版本9.0.0.M9到9.0.9和8.5.5到8.5.31。修补程序包含在Tomcat 9.0.10和8.5.32中。Apache Tomcat漏洞

该漏洞被评为“重要”,已被Apache软件基金会描述为信息泄露问题,该问题是由跟踪连接关闭的错误引起的,这可能导致用户会话混淆。

另一个被评为“重要”的安全漏洞是CVE-2018-1336,这是UTF-8解码器中可能导致DoS状况的错误。该缺陷影响Tomcat版本7.0.x,8.0.x,8.5.x和9.0.x,并已通过版本9.0.7,8.5.32,8.0.52和7.0.90解决。

Apache软件基金会在其公告中表示,“UTF-8解码器中带有补充字符的溢出处理不当会导致解码器无限循环,从而导致拒绝服务”。

最新的Tomcat 7.0.x,8.0.x,8.5.x和9.0.x版本还修补了作为CVE-2018-8034跟踪的低严重性安全约束绕过问题。

“缺少使用TLS与WebSocket客户端时的主机名验证。它现在默认启用,“读取此漏洞的建议。

US-CERT还发布了一个警报,建议用户查看Apache建议并应用更新。

Apache Tomcat漏洞不太可能在野外被利用。几年前有针对Apache Tomcat服务器的蠕虫,但它利用了常见的用户名和密码组合,而不是利用任何漏洞。

Apache软件基金会上周还向客户通报了影响Apache Ignite的漏洞,Apache Ignite是一个以开源内存为中心的分布式数据库,缓存和处理平台。Ignite目前被DB-Engines评为66分。

Ignite受到两个安全漏洞的影响,这两个安全漏洞都可能导致任意代码执行 。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz
CE安全网

发表评论

您必须登录才能发表评论!