Apache Tomcat Transfer-Encoding头处理拒绝服务和信息泄露漏洞
Apache Tomcat Transfer-Encoding头处理拒绝服务和信息泄露漏洞
发布日期:2010-07-09
更新日期:2010-07-12
受影响系统:
Apache Group Tomcat 7.0.x
Apache Group Tomcat 6.0.x
Apache Group Tomcat 5.5.x
不受影响系统:
Apache Group Tomcat 7.0.1
Apache Group Tomcat 6.0.28
Apache Group Tomcat 5.5.30
描述:
--------------------------------------------------------------------------------
CVE ID: CVE-2010-2227
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat服务器在处理HTTP请求中的Transfer-Encoding头时存在多个错误,导致无法循环使用缓冲区。远程攻击者可以利用这个漏洞导致之后的请求失败,或在请求之间泄露信息。
<*来源:Steve Jones
链接:http://marc.info/?l=bugtraq&m=127870936919566&w=2
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc?view=revision&revision=959428
http://svn.apache.org/viewvc?view=revision&revision=958977
http://svn.apache.org/viewvc?view=revision&revision=958911
评论暂时关闭