10.4.62.91   10.4.62.92   10.4.62.93   10.4.62.94

Apache Tomcat信息泄露漏洞(CVE-2016-8745):可通过HTTP获取远端WWW服务信息

发布时间：2016-12-12

重要程度：重要

受影响的版本：

Apache Tomcat 9.0.0.m1到9.0.0.m13

Apache Tomcat 8.5.0到8.5.8 

更早期版本不受影响

描述：

8.5.x 的 Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归，因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存，这意味着处理器可以用于并发请求，共享处理器可导致请求之间的信息泄漏，包括但不限于会话ID和响应体。

解决方案：

安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决：

切换到 NIO2 HTTP 或 APR HTTP 连接器

禁止发送文件

升级到 Apache Tomcat 9.0.0.M15 或更高版本 （Apache Tomcat 9.0.0.M14有修复，但没有发布）

升级到 Apache Tomcat 8.5.9或更高版本

relist

说明：本人升级到8.5.11版本成功解决这个漏洞。

本文出自 “梦Dream” 博客，请务必保留此出处http://dreamy.blog.51cto.com/12471447/1898203

Apache Tomcat信息泄露漏洞(CVE-2016-8745)