Apache Tomcat信息泄露漏洞(CVE-2016-8745)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Apache Tomcat信息泄露漏洞(CVE-2016-8745)相关的知识,希望对你有一定的参考价值。

10.4.62.91   10.4.62.92   10.4.62.93   10.4.62.94

Apache Tomcat信息泄露漏洞(CVE-2016-8745):可通过HTTP获取远端WWW服务信息


发布时间:2016-12-12

重要程度:重要

受影响的版本:

Apache Tomcat 9.0.0.m1到9.0.0.m13

Apache Tomcat 8.5.0到8.5.8 

更早期版本不受影响

描述:

8.5.x 的 Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归,因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存,这意味着处理器可以用于并发请求,共享处理器可导致请求之间的信息泄漏,包括但不限于会话ID和响应体。

解决方案:

安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决:

切换到 NIO2 HTTP 或 APR HTTP 连接器

禁止发送文件

升级到 Apache Tomcat 9.0.0.M15 或更高版本 (Apache Tomcat 9.0.0.M14有修复,但没有发布)

升级到 Apache Tomcat 8.5.9或更高版本

relist

说明:本人升级到8.5.11版本成功解决这个漏洞。

本文出自 “梦Dream” 博客,请务必保留此出处http://dreamy.blog.51cto.com/12471447/1898203

以上是关于Apache Tomcat信息泄露漏洞(CVE-2016-8745)的主要内容,如果未能解决你的问题,请参考以下文章

Apache已修复Apache Tomcat中的高危漏洞

挖洞经验 | 通过Tomcat Servlet示例页面发现的Cookie信息泄露漏洞

Tomcat Servlet示例页面之Cookie信息泄露

Tomcat Servlet示例页面之Cookie信息泄露

Tomcat服务器版本号泄露-低危漏洞修复

修改服务器Tomcat响应头 暴露Server:Apache-Coyote/1.1信息