Apache Tomcat多个安全漏洞被公布
Apache Tomcat多个安全漏洞被公布
多个tomcat安全漏洞被公布,这些漏洞可以绕过安全限制并造成DOS攻击。这些漏洞影响Apache Tomcat 6.x和Apache Tomcat 7.x。
Apache Tomcat 漏洞
<PRE lang-html?>
CVE-2012-4534 Apache Tomcat denial of serviceCVE-2012-3546 Apache Tomcat Bypass of security constraintsCVE-2012-4431 Apache Tomcat Bypass of CSRF prevention filter
<IMG title=apache-tomcat-7 alt="" src="http://static.freebuf.com/2012/12/apache-tomcat-7.png" width=208 height=207 wp-image-6417? size-full>
CVE-2012-4431,这个漏洞可以绕过CSRF保护过滤器从而使得恶意请求访问受保护的资源。
CVE-2012-4534,这个DOS漏洞可以会消耗大量资源使得系统崩溃
修复方案:
- Tomcat 7.x: Update to version 7.0.32.
- Tomcat 6.x: Update to version 6.0.36.
转自 FreebuF.COM:Apache Tomcat多个安全漏洞被公布
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
了解到您关心Apache Tomcat的安全问题,特别是关于几个已公布的漏洞及其修复方案。这些漏洞确实对运行受影响版本的Tomcat服务器构成了风险,包括可能导致拒绝服务攻击(DoS)和绕过安全限制的问题。为了确保您的系统安全,及时采取补救措施是非常重要的。
根据您提供的信息,针对这些特定漏洞,建议按照以下步骤进行更新:
-
CVE-2012-4534:这是一个导致拒绝服务(DoS)的漏洞,通过更新可以解决。
- Tomcat 7.x用户:应将版本升级到7.0.32或更高版本。
- Tomcat 6.x用户:则需要升级到6.0.36或更高版本。
-
CVE-2012-3546 和 CVE-2012-4431:这两个漏洞分别涉及绕过安全约束和CSRF预防过滤器。同样的,升级到上述推荐的版本可以解决这些问题。
在阿里云环境中,如果您使用的是ECS(Elastic Compute Service)实例并自行部署了Apache Tomcat,您需要登录到您的服务器,手动下载并安装这些更新。步骤大致如下: - 访问Apache Tomcat官方网站的下载页面(对于Tomcat 7.x,选择相应版本;如果是6.x,则访问此链接),下载最新版的Tomcat包。 - 停止当前正在运行的Tomcat服务。 - 备份现有的Tomcat安装目录,以防升级过程中出现问题可以快速回滚。 - 解压下载的新版本Tomcat到适当位置,并配置环境变量(如果需要)以指向新版本。 - 启动新版本的Tomcat服务,并进行必要的测试,确保应用程序正常运行且漏洞已被修复。
另外,如果您使用的是阿里云的其他服务,如Web应用服务(WAAS)、容器服务等,可能有更便捷的更新途径或需要联系技术支持获取帮助来完成升级操作。
请记得,定期检查并应用安全更新是维护系统安全的关键步骤之一。同时,考虑启用自动更新功能(如果支持的话)可以帮助您更快地应对未来可能出现的安全威胁。
