前段時間接到了領導的任務,去幫客戶重新安裝一個tomcat。原因是tomcat有問題,客戶託管在信息中心的應用被封了。領導指定要去安裝tomcat 6.0.36的,去了安裝完回來啦,就沒事啦。
前兩天看iteye的時候才知道原因,Apache Tomcat發佈了新的安全漏洞的問題,最後的解決辦法是 Tomcat 7.0.x用戶升級至7.0.32或更新版本
Tomcat 6.0.x用戶升級至6.0.36或更新版本
所列表的安全漏洞的問題分別是:
1. 拒絕服務漏洞(CVE-2012-4534)
受影響版本:
Tomcat 7.0.0 ~ 7.0.27
Tomcat 6.0.0 ~ 6.0.35
描述:
當使用NIO連接器,並啓用了sendfile和HTTPS時,如果客戶端斷開連接,可能會陷入一個無限循環,導致拒絕服務。
2. 繞過安全約束(CVE-2012-3546)
受影響版本:
Tomcat 7.0.0 ~ 7.0.29
Tomcat 6.0.0 ~ 6.0.35
早期版本也可能受影響
描述:
當使用FORM身份驗證時,如果一些組件在調用FormAuthenticator#authenticate()之前調用request.setUserPrincipal(),
則可以在FORM驗證器中通過在URL尾部附加上“/j_security_check”來繞過安全約束檢查。
3. 繞過預防CSRF(跨站點請求僞造)過濾器(CVE-2012-4431)
受影響版本:
Tomcat 7.0.0 ~ 7.0.31
Tomcat 6.0.0 ~ 6.0.35
描述:
如果請求一個受保護的資源,而在請求中沒有會話ID,則可以繞過預防CSRF過濾器。
這些漏洞不是很清楚,但是知道最好是用tomcat 6.0.36和 tomcat7.0.32