Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439)
- - C1G军火库发布时间: 2012-11-05 (GMT+0800). Apache Tomcat是一个流行的开放源码的JSP应用服务器程序. Apache Tomcat 7.0.0-7.0.27、6.0.0-6.0.35、5.5.0-5.5.35存在多个安全漏洞,成功利用后可允许攻击者绕过安全限制并执行非法操作.
Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439)
标签:
Tomcat
安全通告
tomcat
| 发表时间:2012-11-08 15:50 | 作者:C1G
出处:http://blog.c1gstudio.com
发布时间: 2012-11-05 (GMT+0800)
漏洞版本:
Apache Group Tomcat 7.x
Apache Group Tomcat 6.x
Apache Group Tomcat 5.x
漏洞描述:
BUGTRAQ ID: 56403
CVE ID: CVE-2012-3439
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat 7.0.0-7.0.27、6.0.0-6.0.35、5.5.0-5.5.35存在多个安全漏洞,成功利用后可允许攻击者绕过安全限制并执行非法操作。
<* 参考
http://secunia.com/advisories/51138/
http://tomcat.apache.org/security-6.html
*>
Description
A weakness and a vulnerability have been reported in Apache Tomcat, which can be exploited by malicious people to bypass certain security restrictions and cause a DoS (Denial of Service).
1) An error within the “parseHeaders()” function (InternalNioInputBuffer.java) when parsing request headers does not properly verify the permitted size and can be exploited to trigger an OutOfMemoryError exception via specially crafted headers.
This vulnerability is reported in versions 6.0.0-6.0.35 and 7.0.0-7.0.27.
2) An error within DIGEST authentication mechanism does not properly check server nonces.
This weakness is reported in versions 5.5.0-5.5.35, 6.0.0-6.0.35, and 7.0.0-7.0.29.
Solution
Update to version 5.5.36, 6.0.36, or 7.0.30.
tomcat下载地址:http://tomcat.apache.org/download-60.cgi
tomcat升级参见 http://blog.c1gstudio.com/archives/1434
Related Posts
- 使用Oracle JRockit 提高tomcat性能 ( 2010-03-09)
- Java虚拟机的最大内存限制 ( 2010-03-03)
- CentOs5.2安装tomcat ( 2009-11-09)
相关 [apache tomcat digest] 推荐:
Apache整合Tomcat、集群
- - ITeye博客Apache 整合 Tomcat 、集群. 1.1 使用mod_proxy整合. 1.2 使用mod_jk整合. 1.3.1 Tomcat集群配置. 1.3.2 mod_proxy进行负载均衡. 1.3.3 mod_jk进行负载均衡. Apache整合Tomcat主要有两种方式,通过mod_proxy整合和通过mod_jk整合.
Docker自动部署Apache Tomcat
- - 开源软件 - ITeye博客本文是Docker的入门文章,推荐Java开发者阅读. 文章详细介绍了如何用Docker来安装部署Tomcat. 扩展Tomcat的官方Dockerfile. 在容器里部署RESTful的Web服务并测试. 使用docker search可以查到最流行的(和官方的)Docker Tomcat容器: .
apache与tomcat负载集群的3种方法
- dongsheng - BlogJava-首页技术区花了两天时间学习apache与tomcat的集成方法,现在把学习成果记录下来. apache与tomcat负载集群集成方法有3种jk、jk_proxy、http_proxy. 本次测试是1个apache集成两个tomcat. 安装apache http server省略,访问地址为http://127.0.0.1:8081.
Apache Tomcat 6.0.35前有拒绝服务,信息泄露等漏洞
- - C1G军火库Apache Tomcat 6.0.35前有信息泄露相关的一个漏洞(CVE-2011-3375),. 以及另一个在此前广受关注的哈希碰撞引发拒绝服务(DoS)漏洞(CVE-2012-0022),. Apache 建议用户对 Tomcat 进行升级从而规避此漏洞. 一.安装Oracle JRockit.
Apache与Tomcat的3种连接方式分析
- - 服务器运维与网站架构|Linux运维|互联网研究首先我们先介绍一下为什么要让 Apache 与 Tomcat 之间进行连接. 事实上 Tomcat 本身已经提供了 HTTP 服务,该服务默认的端口是 8080,装好 tomcat 后通过 8080 端口可以直接使用 Tomcat 所运行的应用程序,你也可以将该端口改为 80. 既然 Tomcat 本身已经可以提供这样的服务,我们为什么还要引入 Apache 或者其他的一些专门的 HTTP 服务器呢.
Apache+Tomcat+Memcached共享Session的构架设计
- - CSDN博客架构设计推荐文章一、 方案目标. 实现互动留言系统、后台发布系统的高可用性,有效解决高并发量对单台应用服务器的冲击,确保应用服务器单点故障不影响系统正常运行. 二、 部署架构. 采取Tomcat集群的部署方式,Apache通过proxy_module代理方式对用户的请求进行负载均衡,转发至tomcat集群中的某一实例进行处理,tomcat集群之间通过Memcached高性能缓存集群共享持久Session.
使用 Redis 来存储 Apache Tomcat 7 的 Session
- - 编程语言 - ITeye博客使用 Redis 服务器来存储Session非常有优势. 首先它是一个NOSQL数据,第二它很容易扩展使用. This kind of setup would lead to a clear understanding of how Redis can behave as cache as well as a session storing system.
apache与tomcat负载集群的3种方法 (转载)
- - 研发管理 - ITeye博客集群tomcat主要是解决SESSION共享的问题. 花了两天时间学习apache与tomcat的集成方法,现在把学习成果记录下来. apache与tomcat负载集群集成方法有3种jk、jk_proxy、http_proxy. 本次测试是1个apache集成两个tomcat. 安装apache http server省略,访问地址为http://127.0.0.1:8081.
基于apache的tomcat负载均衡和集群配置
- - 研发管理 - ITeye博客基于apache的tomcat负载均衡和集群配置. httpd-2.2.15-win32-x86-no_ssl.msi 网页服务器. mod_jk-1.2.30-httpd-2.2.3.so Apache/IIS 用来连接后台Tomcat的模块,支持集群和负载均衡. JK 分为两个版本 1,x 和 2.x ,其中 2.x 并不是最新的版本,它是 JK 的另外一个分支,后不知何因没有继续开发,因此2.x 版本已经废弃.