Apache Tomcat 爆安全漏洞 5.x ~ 7.x 版本受影响

资讯频道 → 企业架构

65顶
6踩

2011-06-28 10:36 by 见习编辑 hotwind 评论(20) 有18275人浏览

Apache Tomcat 安全漏洞

CVE-2011-2204 Apache Tomcat信息泄漏

安全级别: 低

影响的版本:

Tomcat 7.0.0 to 7.0.16
Tomcat 6.0.0 to 6.0.32
Tomcat 5.5.0 to 5.5.33

更早的版本也有可能受影响。

漏洞描述:
当使用 MemoryUserDatabase (基于 tomcat-users.xml) 并通过 JMX 创建用户时，如果异常发生，那么在 JMX 的客户端上的错误提示将会包含用户的密码，这个错误信息同时也会写到 Tomcat 的日志文件中。

重现此漏洞的步骤:
Tomcat 安全团队很难重现这个问题，以至于他们不得不修改 Tomcat 源码，让它直接抛出一个异常出来。另外理论上，一个 OutOfMemoryError 会直接导致这个漏洞的发生。

解决的办法：

不通过 JMX 来管理 MemoryUserDatabase
使用摘要密码
限制 Tomcat 日志文件的访问
升级到 Tomcat 7.0.17, 6.0.33 or 5.5.34 或更新版本
打补丁：

    - 7.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140070&view=rev
    - 6.0.x 补丁下载: http://svn.apache.org/viewvc?rev=1140071&view=rev
    - 5.5.x 补丁下载: http://svn.apache.org/viewvc?rev=1140072&view=rev

via http://seclists.org/fulldisclosure/2011/Jun/514

来自: 开源中国社区

分享到：

65
顶

6
踩

评论共 20 条请登录后发表评论

20 楼 jingyuzhu3 2011-06-30 15:57

19 楼 javaDevil 2011-06-30 00:29

管理模块一般都木有

18 楼 gdcooler 2011-06-29 20:44

上生产之后，管理模块都删除啦。。木有鸭梨。

17 楼 chxkyy 2011-06-29 14:46

基本没有用过这个文件tomcat-users.xml

16 楼 unika_ly12 2011-06-29 13:02

jackra 写道

表示完全没有鸭梨

15 楼 jackra 2011-06-29 11:35

表示完全没有鸭梨

14 楼 sosu1314 2011-06-29 10:47

呵呵升级吧

13 楼 comsci 2011-06-29 09:43

觉得，这个BUG对一般的用户影响不大

12 楼 boyleohong 2011-06-28 21:28

tomcat7还要升级，难道有tomcat8了？[/quot
升级无止境啊

11 楼 boyleohong 2011-06-28 21:27

pengliren 写道

沙发呵呵

111111111111

10 楼 luoyahu 2011-06-28 17:48

直接把远程管理那部分删除不挺安全的吗？

9 楼 java_xiaoyi 2011-06-28 17:46

tomcat7还要升级，难道有tomcat8了？

8 楼 sinopf 2011-06-28 17:27

都没用过这个文件啊

7 楼 huruxing159 2011-06-28 16:27

不是按照他那种方式搞就不会了啊

6 楼 zhoujm 2011-06-28 16:01

tomcat-users.xml为什么要用这个呢？不用不就好了。

5 楼 ljpandmlx 2011-06-28 15:33

沙发

4 楼 csywashing 2011-06-28 15:06

又得下新版本

3 楼 Allen 2011-06-28 14:34

别用tomcat-users.xml不就好了。

2 楼 haiyupeter 2011-06-28 14:06

唉呀，悲剧呀，怎么可能升级嘛，旧应用是无法升级的，哪里知道升级上来会有哪些异常呀，哈哈。。。

1 楼 pengliren 2011-06-28 13:31

沙发呵呵

发表评论

您还没有登录,请您登录后再发表评论

65顶6踩