文件上传组件导致 Tomcat 7&8 DoS 安全漏洞

简介:

由于 Apache Commons Fileupload 文件上传组件的问题,导致全系的 Tomcat 版本存在 DoS 安全漏洞。所影响的版本包括:

- - Commons FileUpload 1.0 to 1.3
- - Apache Tomcat 8.0.0-RC1 to 8.0.1
- - Apache Tomcat 7.0.0 to 7.0.50
- - Apache Tomcat 6 and earlier are not affected

解决该漏洞的方法:

- - Upgrade to Apache Commons FileUpload 1.3.1 or later once released
- - Upgrade to Apache Tomcat 8.0.2 or later once released
- - Upgrade to Apache Tomcat 7.0.51 or later once released
- - Apply the appropriate patch
  - Commons FileUpload: http://svn.apache.org/r1565143
  - Tomcat 8: http://svn.apache.org/r1565163
  - Tomcat 7: http://svn.apache.org/r1565169
- - Limit the size of the Content-Type header to less than 4091 bytes

该漏洞的详细描述请看这里。

文章转载自 开源中国社区 [http://www.oschina.net]

相关文章
|
1月前
|
设计模式 安全 Java
【分布式技术专题】「Tomcat技术专题」 探索Tomcat技术架构设计模式的奥秘(Server和Service组件原理分析)
【分布式技术专题】「Tomcat技术专题」 探索Tomcat技术架构设计模式的奥秘(Server和Service组件原理分析)
46 0
|
安全 Java 应用服务中间件
组件漏洞修复---修改SpringBoot内置tomcat的版本号
安全反应Tomcat9.0.41存在安全漏洞,让将所有服务的Tomcat版本升级到9.0.44,我们都知道SpingBoot中是集成的有内置的Tomcat的,叫Embed-Tomcat,这个Tomcat和我们用于部署war包的Tomcat还是有有一些区别的,但是版本一直和Tomcat基本保持一致。
921 0
组件漏洞修复---修改SpringBoot内置tomcat的版本号
|
3天前
|
负载均衡 安全 Java
Tomcat的核心组件
Tomcat的核心组件
10 1
|
1月前
|
XML Java 应用服务中间件
Springboot中tomcat配置、三大组件配置、拦截器配置
Springboot中tomcat配置、三大组件配置、拦截器配置
|
8月前
|
Java 应用服务中间件
[记录]springboot 设置文件上传大小(tomcat默认1M)
[记录]springboot 设置文件上传大小(tomcat默认1M)
242 0
|
1月前
|
前端开发 Java 应用服务中间件
架构篇:Tomcat 高层组件构建一个商业帝国
架构篇:Tomcat 高层组件构建一个商业帝国
309 6
|
安全 Java 应用服务中间件
Tomcat jmx组件 RCE poc编写
Tomcat jmx组件 RCE poc编写
|
网络协议 应用服务中间件 网络安全
tomcat 组件与server.xml配置
tomcat 组件与server.xml配置
135 0
|
设计模式 安全 Java
【Tomcat技术专题】循序渐进,分析Servlet容器鼻祖的Server和Service组件原理
【Tomcat技术专题】循序渐进,分析Servlet容器鼻祖的Server和Service组件原理
139 0
【Tomcat技术专题】循序渐进,分析Servlet容器鼻祖的Server和Service组件原理
|
设计模式 前端开发 应用服务中间件
拆解Tomcat10: (六) 核心组件的生命周期管理与组合模式解析(二)
上一篇《拆解Tomcat10 (五) 核心组件的初始化与设计模式解析》分享了Tomcat的核心组件的是如何实现生命周期接口的,以及生命周期方法的调用逻辑。如果把Tomcat比作一台机器,那么这台机器是如何开机、关机的呢? 当按下开机键,所有核心组件会逐步初始化、启动;当按下关机键,所有组件又会随着关机,释放资源,这是如何实现的呢?
945 0
拆解Tomcat10: (六) 核心组件的生命周期管理与组合模式解析(二)