首页 > 代码库 > Apache Tomcat信息泄露漏洞(CVE-2016-8745)
Apache Tomcat信息泄露漏洞(CVE-2016-8745)
10.4.62.91 10.4.62.92 10.4.62.93 10.4.62.94
Apache Tomcat信息泄露漏洞(CVE-2016-8745):可通过HTTP获取远端WWW服务信息
发布时间:2016-12-12
重要程度:重要
受影响的版本:
Apache Tomcat 9.0.0.m1到9.0.0.m13
Apache Tomcat 8.5.0到8.5.8
更早期版本不受影响
描述:
8.5.x 的 Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归,因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存,这意味着处理器可以用于并发请求,共享处理器可导致请求之间的信息泄漏,包括但不限于会话ID和响应体。
解决方案:
安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决:
切换到 NIO2 HTTP 或 APR HTTP 连接器
禁止发送文件
升级到 Apache Tomcat 9.0.0.M15 或更高版本 (Apache Tomcat 9.0.0.M14有修复,但没有发布)
升级到 Apache Tomcat 8.5.9或更高版本
relist
说明:本人升级到8.5.11版本成功解决这个漏洞。
本文出自 “梦Dream” 博客,请务必保留此出处http://dreamy.blog.51cto.com/12471447/1898203
Apache Tomcat信息泄露漏洞(CVE-2016-8745)
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。