Apache已修复Apache Tomcat中的高危漏洞

2018 年 7 月 27 日 FreeBuf

近日,Apache软件基金会为Tomcat应用程序服务器推送了最新的安全更新,并修复了多个安全漏洞,其中包括一个DoS漏洞和一个信息泄露漏洞。

ApacheTomcat是一款开源的Java Servlet容器,其中实现了多种Java EE规范,包括Java Servlet、JavaServer Pages(JSP)、Java EL和WebSocket,并且提供了一个“纯Java”实现的HTTP Web服务器环境,可供Java代码运行。

据统计,Apache Tomcat目前占有的市场份额大约为60%。

Apache软件基金会修复的第一个漏洞为CVE-2018-8037,这是一个非常严重的安全漏洞,存在于服务器的连接会话关闭功能之中。一旦成功利用,该漏洞将允许攻击者在新的会话连接中再次使用之前用户的会话凭证。Tomcat v9.0.0.M9到v9.0.9以及v8.5.5到v.5.31都将受到该漏洞的影响,不过最新发布的Tomcat v9.0.10和v8.5.32已经成功修复了该漏洞。

Apache软件基金会修复的第二个漏洞为CVE-2018-1336,这个漏洞是存在于UTF-8解码器中的溢出漏洞,如果攻击者向解码器传入特殊参数的话,将有可能导致解码器陷入死循环,并出现拒绝服务的情况。受该漏洞影响的Tomcat版本有v7.0.x、v8.0.x、v8.5.x和v9.0.x,而v9.0.7、v8.5.32、v8.0.52和v7.0.90版本已经成功修复了该漏洞。

除了之前两个漏洞之外,Apache软件基金会还修复了一个低危的安全限制绕过漏洞,漏洞编号为CVE-2018-8034。根据安全公告中的内容,该漏洞之所以存在,是因为服务器在使用TLS和WebSocket客户端时缺少对主机名的有效性验证。该漏洞目前已经在最新的Tomcat v7.0.x、v8.0.x、v8.5.x和v9.0.x版本中成功修复。

US-CERT目前也已经给用户推送了漏洞安全警告,并敦促相关用户尽快修复该漏洞。

不过安全研究人员表示,目前还没有发现有攻击者利用这些漏洞来实施攻击。但是需要注意的是,这两个漏洞最终都将导致攻击者在目标服务器上实现任意代码执行。

* 参考来源:securityaffairs,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

登录查看更多
1

相关内容

Apache是web服务器,Tomcat是应用(java)服务器,它只是一个servlet容器,是Apache的扩展。 Apache和Tomcat都可以做为独立的web服务器来运行,但是Apache不能解释java程序(jsp,servlet)。 两者都是一种容器,只不过发布的东西不同:Apache是html容器,功能像IIS一样;Tomcat是jsp/servlet容器,用于发布jsp及java的,类似的有IBM的websphere、BEA的Weblogic,sun的JRun等等。
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
117+阅读 · 2020年5月10日
【ICMR2020】持续健康状态接口事件检索
专知会员服务
17+阅读 · 2020年4月18日
【资源】100+本免费数据科学书
专知会员服务
107+阅读 · 2020年3月17日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
Arxiv
9+阅读 · 2018年3月23日
VIP会员
相关资讯
在K8S上运行Kafka合适吗?会遇到哪些陷阱?
DBAplus社群
9+阅读 · 2019年9月4日
漏洞预警丨Xstream远程代码执行漏洞
FreeBuf
4+阅读 · 2019年7月25日
Kali Linux 渗透测试:密码攻击
计算机与网络安全
16+阅读 · 2019年5月13日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
被动DNS,一个被忽视的安全利器
运维帮
11+阅读 · 2019年3月8日
百度开源项目OpenRASP快速上手指南
黑客技术与网络安全
5+阅读 · 2019年2月12日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
TensorFlow、Caffe、Torch 三大深度学习框架被存在安全漏洞
Top
微信扫码咨询专知VIP会员