码迷,mamicode.com
首页 > Web开发 > 详细

Apache Tomcat信息泄露漏洞(CVE-2016-8745)

时间:2017-02-15 22:38:07      阅读:464      评论:0      收藏:0      [点我收藏+]

标签:解决方案   信息发布   处理器   连接器   修复   

10.4.62.91   10.4.62.92   10.4.62.93   10.4.62.94

Apache Tomcat信息泄露漏洞(CVE-2016-8745):可通过HTTP获取远端WWW服务信息


发布时间:2016-12-12

重要程度:重要

受影响的版本:

Apache Tomcat 9.0.0.m1到9.0.0.m13

Apache Tomcat 8.5.0到8.5.8 

更早期版本不受影响

描述:

8.5.x 的 Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归,因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存,这意味着处理器可以用于并发请求,共享处理器可导致请求之间的信息泄漏,包括但不限于会话ID和响应体。

解决方案:

安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决:

切换到 NIO2 HTTP 或 APR HTTP 连接器

禁止发送文件

升级到 Apache Tomcat 9.0.0.M15 或更高版本 (Apache Tomcat 9.0.0.M14有修复,但没有发布)

升级到 Apache Tomcat 8.5.9或更高版本

relist

说明:本人升级到8.5.11版本成功解决这个漏洞。

本文出自 “梦Dream” 博客,请务必保留此出处http://dreamy.blog.51cto.com/12471447/1898203

Apache Tomcat信息泄露漏洞(CVE-2016-8745)

标签:解决方案   信息发布   处理器   连接器   修复   

原文地址:http://dreamy.blog.51cto.com/12471447/1898203
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!