apache tomcat/7.0.53 漏洞有哪些
1.CVE-2014-0095:DoS(拒绝服务)漏洞如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。受影响版本:ApacheTomcat8.0.0-RC2~8.0.32.CVE-2014-0075:DoS(拒绝服务)漏洞攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致DoS攻击。受影响版本:ApacheTomcat8.0.0-RC1~8.0.3ApacheTomcat7.0.0~7.0.52ApacheTomcat6.0.0~6.0.393.CVE-2014-0096:信息泄露漏洞默认的servlet可以让Web应用程序定义一个XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和Web应用程序一样的约束条件,使得恶意Web应用通过使用外部XML来绕过安全限制。受影响版本:ApacheTomcat8.0.0-RC1~8.0.3ApacheTomcat7.0.0~7.0.52ApacheTomcat6.0.0~6.0.394.CVE-2014-0097:信息泄露漏洞用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。受影响版本:ApacheTomcat8.0.0-RC1~8.0.3ApacheTomcat7.0.0~7.0.52ApacheTomcat6.0.0~6.0.395.CVE-2014-0119:信息泄露漏洞在特定情况下,恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD(标签库描述符)和标签插件配置文件,注入的XML解析器可能会绕过针对XML外部实体的限制。受影响版本:ApacheTomcat8.0.0-RC1~8.0.5ApacheTomcat7.0.0~7.0.53ApacheTomcat6.0.0~6.0.39解决方法:各分支产品升级至最新的版本。Tomcat8.x分支升级至Tomcat8.0.8或更新版本Tomcat7.x分支升级至Tomcat7.0.54或更新版本Tomcat6.x分支升级至Tomcat6.0.41或更新版本
BUGTRAQ ID: 51442
CVE ID: CVE-2011-3375
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat在实现上存在安全限制绕过漏洞,成功利用后可允许攻击者绕过某些安全策略限制。
<*来源:vendor
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
如果AJP请求中设置了一个长度为0的内容,会导致AJP请求挂起,这会消耗一个请求处理线程,可能导致拒绝服务攻击。
受影响版本:Apache Tomcat 8.0.0-RC2~8.0.3
2. CVE-2014-0075:DoS(拒绝服务)漏洞
攻击者可以制作一个特殊大小的chunked请求,允许大量数据流传输到服务器,并可以绕过各种大小验证,从而导致DoS攻击。
受影响版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
3. CVE-2014-0096:信息泄露漏洞
默认的servlet可以让Web应用程序定义一个XSLT,用于格式化目录列表。当在一个安全管理机制下运行时,这些进程没有受到和Web应用程序一样的约束条件,使得恶意Web应用通过使用外部XML来绕过安全限制。
受影响版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
4. CVE-2014-0097:信息泄露漏洞
用于解析请求内容长度头的代码没有检查溢出,这将导致请求泄露。
受影响版本:
Apache Tomcat 8.0.0-RC1~8.0.3
Apache Tomcat 7.0.0~7.0.52
Apache Tomcat 6.0.0~6.0.39
5. CVE-2014-0119:信息泄露漏洞
在特定情况下,恶意Web应用可能取代Tomcat中的XML解析器来处理默认servlet的XSLT、JSP文档、TLD(标签库描述符)和标签插件配置文件,注入的XML解析器可能会绕过针对XML外部实体的限制。
受影响版本:
Apache Tomcat 8.0.0-RC1~8.0.5
Apache Tomcat 7.0.0~7.0.53
Apache Tomcat 6.0.0~6.0.39
解决方法:
各分支产品升级至最新的版本。
Tomcat 8.x分支升级至Tomcat 8.0.8或更新版本
Tomcat 7.x分支升级至Tomcat 7.0.54或更新版本
Tomcat 6.x分支升级至Tomcat 6.0.41或更新版本
利郭英脱: 这是DNS 出问题了.解决措施:1、打开网络邻居后,打到本地连接,右键,属性,如图2、打到ipv4选项,双击,如图3、点击手动设置DNS单选框,在下面填入8.8.8.8,如图4、然后,找到本地连接,先停用,再启用下就行了,如图5、设置好后,点确定,重新访问网页,就发现可以访问了.DNS是指:域名系统,在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析系统来完成,DNS就是进行域名解析的系统.
龙江县18857052632: apache tomcat是什么 - ?
利郭英脱:Apache是普通服务器,本身只支持html即普通网页.不过可以通过插件支持php,还可以与Tomcat连通(单向Apache连接Tomcat,就是说通过Apache可以访问Tomcat资源.反之不然).Apache只支持静态网页,但像asp,php,cgi,jsp等动态网...
龙江县18857052632: Apache Tomcat 是什么 - ?
利郭英脱: Apache是一个强大的Web服务器 在处理静态页面、处理大量网络客户请求、支持服务的种类以及可配置方面都有优势,高速并且强壮.但是没有JSP/Servlet的解析能力. 整合Apache和Tomcat可以看作是用Tomcat做Apache的jsp/servlet解析插...
龙江县18857052632: apache tomcat配置 - ?
利郭英脱: apache安装目录为APACHE_HOME tomcat安装目录为TOMCAT_HOME (要设到环境变量中) jdk安装目录为JAVA_HOME(要设到环境变量中)1.安装apache:(假定安装目录为APACHE_HOME,根据你实际安装自行替换) 废话不多说,...
龙江县18857052632: 如何安装Apache Tomcat并使用Tomcat发布网站 - ?
利郭英脱: 1.1打开浏览器输入网址apache.org2点击“Download”进入下载页面,搜索到“Tomcat”3选个稳定的版本下载,这里选择7.04根据操作系统情况选择相应的版本的二进制压缩文件(好处在于免安装,拿来就能用),这里以Windows 64位机器...
龙江县18857052632: “Apache - tomcat" 到底是什么? - ?
利郭英脱: apache 是一个国际组织,关于技术的组织tomcat是个web服务器,是apache组织开发的,都带个前缀
龙江县18857052632: Apache和Tomcat的区别 - ?
利郭英脱: Apache 和 Tomcat 都是web网络服务器,两者既有联系又有区别,在进行HTML、PHP、JSP、Perl等开发过程中,需要准确掌握其各自特点,选择最佳的服务器配置. Apache是web服务器(静态解析,如HTML),tomcat是java应用服务器(...
龙江县18857052632: apachetomcat是什么啊!能开机禁止吗?
利郭英脱: 标准的答案!如果是个人电脑,可以禁用该服务程序
龙江县18857052632: Apache与Tomcat有什么关系和区别 - ?
利郭英脱: 1. Apache是web服务器,Tomcat是应用(java)服务器,它只是一个servlet容器,是Apache的扩展.2. Apache和Tomcat都可以做为独立的web服务器来运行,但是Apache不能解释java程序(jsp,serverlet).3. Apache是普通服务器,本身只支...
龙江县18857052632: TOMCAT和APACHE有何区别? - ?
利郭英脱: Apache 指的一个开源项目集,主项目就是 apahce 网页服务器. 网站为: www.apache.org Apache 项目下有很多的子项目,其中 Jakarta 子项目是这些子项目中最出名的一个,也是关于 Java 开源项目的. 它下面又有很多的子项目, 其中 Tomcat 又是最出名的一个.Tomcat 是一个 Servlets & JSP 容器.
