Apache警告:Tomcat存在远程代码执行漏洞

标签: 漏洞 资讯 | 发表时间:2014-09-12 00:10 | 作者:dawner
出处:http://www.freebuf.com

开源WEB容器–Apache+Tomcat老版本很容易受到远程代码执行的攻击。Mark Thomas,一位长期致力于Apache+Tomcat的工作者称

“在某种情况下,用户可以上传恶意JSP文件到Tomcat服务器上运行,然后执行命令。JSP的后门可以用来在服务器上任意执行命令。”

Thomas 今日发出警告称,Tomcat版本7.0.0和7.3.9在发布补丁之前是脆弱的。利用 漏洞(CVE-2014-4444)可执行远程代码执行攻击。上周VMware安全工程部,通信与响应小组(vSECR)的Pierre Ernst挖掘出了这个漏洞。

但官方同时也表示,这个漏洞谈起来容易,但实施攻击有难度。攻击者必须达成的一定条件——其中包括:Oracle Java 1.7.0 update 25,或者Tomcat中的更早的脆弱版本。值得一提的是,该系统的文件路径必须保证可写,而JMX环境的自定义侦听器必须配置且绑定到本地localhost以外的地址。 正因为这些限制,Tomcat的安全团队把该漏洞从严重降级为重要,严重程度往往与远程执行漏洞相关。

Apache团队鼓励用户升级到Tomcat7.0.40,或者将他们的Oracle Java升级到1.7.0来减轻危害,要不然就只能等到以后再修补它了。

[参考信息来源 threatpost.com ,译/FreeBuf实习小编dawner,转载请注明来自FreeBuf.COM]

相关 [apache tomcat 存在] 推荐:

Apache警告:Tomcat存在远程代码执行漏洞

- - FreeBuf.COM
开源WEB容器–Apache+Tomcat老版本很容易受到远程代码执行的攻击. Mark Thomas,一位长期致力于Apache+Tomcat的工作者称. “在某种情况下,用户可以上传恶意JSP文件到Tomcat服务器上运行,然后执行命令. JSP的后门可以用来在服务器上任意执行命令. Thomas 今日发出警告称,Tomcat版本7.0.0和7.3.9在发布补丁之前是脆弱的.

Apache整合Tomcat、集群

- - ITeye博客
Apache 整合 Tomcat 、集群. 1.1     使用mod_proxy整合. 1.2     使用mod_jk整合. 1.3.1    Tomcat集群配置. 1.3.2    mod_proxy进行负载均衡. 1.3.3    mod_jk进行负载均衡.        Apache整合Tomcat主要有两种方式,通过mod_proxy整合和通过mod_jk整合.

Docker自动部署Apache Tomcat

- - 开源软件 - ITeye博客
本文是Docker的入门文章,推荐Java开发者阅读. 文章详细介绍了如何用Docker来安装部署Tomcat. 扩展Tomcat的官方Dockerfile. 在容器里部署RESTful的Web服务并测试. 使用docker search可以查到最流行的(和官方的)Docker Tomcat容器: .

apache与tomcat负载集群的3种方法

- dongsheng - BlogJava-首页技术区
花了两天时间学习apache与tomcat的集成方法,现在把学习成果记录下来. apache与tomcat负载集群集成方法有3种jk、jk_proxy、http_proxy. 本次测试是1个apache集成两个tomcat. 安装apache http server省略,访问地址为http://127.0.0.1:8081.

Apache Tomcat 6.0.35前有拒绝服务,信息泄露等漏洞

- - C1G军火库
Apache Tomcat 6.0.35前有信息泄露相关的一个漏洞(CVE-2011-3375),. 以及另一个在此前广受关注的哈希碰撞引发拒绝服务(DoS)漏洞(CVE-2012-0022),. Apache 建议用户对 Tomcat 进行升级从而规避此漏洞. 一.安装Oracle JRockit.

Apache与Tomcat的3种连接方式分析

- - 服务器运维与网站架构|Linux运维|互联网研究
首先我们先介绍一下为什么要让 Apache 与 Tomcat 之间进行连接. 事实上 Tomcat 本身已经提供了 HTTP 服务,该服务默认的端口是 8080,装好 tomcat 后通过 8080 端口可以直接使用 Tomcat 所运行的应用程序,你也可以将该端口改为 80. 既然 Tomcat 本身已经可以提供这样的服务,我们为什么还要引入 Apache 或者其他的一些专门的 HTTP 服务器呢.

Apache+Tomcat+Memcached共享Session的构架设计

- - CSDN博客架构设计推荐文章
一、       方案目标. 实现互动留言系统、后台发布系统的高可用性,有效解决高并发量对单台应用服务器的冲击,确保应用服务器单点故障不影响系统正常运行. 二、       部署架构. 采取Tomcat集群的部署方式,Apache通过proxy_module代理方式对用户的请求进行负载均衡,转发至tomcat集群中的某一实例进行处理,tomcat集群之间通过Memcached高性能缓存集群共享持久Session.

Apache Tomcat DIGEST身份验证多个安全漏洞(CVE-2012-3439)

- - C1G军火库
发布时间: 2012-11-05 (GMT+0800). Apache Tomcat是一个流行的开放源码的JSP应用服务器程序. Apache Tomcat 7.0.0-7.0.27、6.0.0-6.0.35、5.5.0-5.5.35存在多个安全漏洞,成功利用后可允许攻击者绕过安全限制并执行非法操作.

使用 Redis 来存储 Apache Tomcat 7 的 Session

- - 编程语言 - ITeye博客
使用  Redis 服务器来存储Session非常有优势. 首先它是一个NOSQL数据,第二它很容易扩展使用. This kind of setup would lead to a clear understanding of how  Redis can behave as cache as well as a session storing system.

apache与tomcat负载集群的3种方法 (转载)

- - 研发管理 - ITeye博客
集群tomcat主要是解决SESSION共享的问题. 花了两天时间学习apache与tomcat的集成方法,现在把学习成果记录下来. apache与tomcat负载集群集成方法有3种jk、jk_proxy、http_proxy. 本次测试是1个apache集成两个tomcat. 安装apache http server省略,访问地址为http://127.0.0.1:8081.