新客网WWW.XKER.COM:致力做中国最专业的网络学院!
学院: 操作系统 - 网络应用 - 服务器 - 网络安全 - 工具软件 - 办公软件 - Web开发 - 数据库 - 网页设计 - 图形图像 - 媒体动画 - 硬件学堂 - 存储频道 - QQ专区
您的位置:首页 > 新闻中心 > 安全资讯 > 正文:Apache Tomcat 的多个远程信息泄露漏洞

Apache Tomcat 的多个远程信息泄露漏洞

新客网 XKER.COM 2007-08-23 来源: 绿蒙科技 收藏本文

 

 

发布日期:2007-08-14

更新日期:2007-08-21

 

受影响系统:

Apache Group Tomcat 6.0.0 - 6.0.13

Apache Group Tomcat 5.5.0 - 5.5.24

Apache Group Tomcat 4.1.0 - 4.1.36

Apache Group Tomcat 3.3 - 3.3.2

不受影响系统:

Apache Group Tomcat 6.0.14

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 25316

CVE(CAN) ID: CVE-2007-3385,CVE-2007-3382

 

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

 

Apache Tomcat处理用户请求数据时存在输入验证漏洞,远程攻击者可能利用此漏洞获取会话相关的敏感信息。

 

Apache Tomcat没有正确的处理Cookie值中的“\" ”字符序列,且错误地将Cookie值中的单引号处理为分隔符,在某些情况下,这可能导致泄露敏感信息,如会话ID。

 

<*来源:Tomasz Kuczynski

 

链接:http://tomcat.apache.org/security-6.html

http://www.auscert.org.au/render.html?it=7988&template=1

http://www.kb.cert.org/vuls/id/993544

http://secunia.com/advisories/26466/

*>

 

建议:

--------------------------------------------------------------------------------

厂商补丁:

 

Apache Group

------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://apache.mirror.rafal.ca/tomcat/tomcat-6/v6.0.14/bin/apache-tomcat-6.0.14.tar.gz()

收藏】 【评论】 【推荐】 【投稿】 【打印】 【关闭
发表评论
要记得去论坛讨论,点击注册新会员匿名评论
评论内容:不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
阅读排行
专题教程
随机推荐
实用信息推荐