2014開年漏洞還真是多,這一次輪到了tomcat ; 而且是全系列的漏洞,具體如下:
這個漏洞代號爲 CVE-2014-0227 , 官方稱之爲畸形混搭漏洞,即攻擊者可以僞造一個畸形的數據請求塊,從而插入到用戶請求數據中,作爲一個新的用戶請求體
返回給用戶。
目前受影響的版本基本覆蓋了所有的tomcat版本,如:
- - Apache Tomcat 8.0.0-RC1 to 8.0.8
- - Apache Tomcat 7.0.0 to 7.0.54
- - Apache Tomcat 6.0.0 to 6.0.41
當前apache官方已經給出瞭解決辦法,分別升級對應的tomcat版本即可,如下:
8.0.0系列 升級到 apache Tomcat 8.0.9 及以上;
7.0.0系列 升級到 apache Tomcat 7.0.55 及以上;
6.0.0系列 升級到 apache Tomcat 6.0.43 及以上;