Apache2月9日邮件提示：Tomcat请求漏洞（Request Smuggling）

标签：漏洞   tomcat   request smuggling   

官方邮件原文：

http://mail-archives.apache.org/mod_mbox/www-announce/201502.mbox/%3C54D87A0F.7010400@apache.org%3E

CVE编码：CVE-2014-0227

漏洞名称：Request Smuggling
危害程度：重要！
影响的版本包括：
- - Apache Tomcat 8.0.0-RC1 to 8.0.8
- - Apache Tomcat 7.0.0 to 7.0.54
- - Apache Tomcat 6.0.0 to 6.0.41
漏洞描述：

通过在chucked请求中包含一个非正常的chunk数据有可能导致Tomcat将该请求的部分数据当成一个新请求。

解决办法：

（受到影响的用户应尽快升级Tomcat软件到下列版本）

- - Upgrade to Apache Tomcat 8.0.9 or later
- - Upgrade to Apache Tomcat 7.0.55 or later
- - Upgrade to Apache Tomcat 6.0.43 or later

(6.0.42 contains the fix but was not released)

本文出自 “丁丁历险” 博客，请务必保留此出处http://manual.blog.51cto.com/3300438/1613239

Apache2月9日邮件提示：Tomcat请求漏洞（Request Smuggling）

标签：漏洞   tomcat   request smuggling   

原文地址：http://manual.blog.51cto.com/3300438/1613239