Apache Tomcat中发现严重DoS漏洞(CVE-2012-2733)和中度摘要式身份验证漏洞(CVE-2012-3439)。攻击者可通过发送大请求头触发内存溢出,以及利用认证弱点进行回放攻击。受影响版本包括Tomcat 7.0.0~7.0.27、6.0.0~6.0.35及5.5.0~5.5.35。解决方案是升级到7.0.30及以上、6.0.36及以上或5.5.36及以上版本。
Apache软件基金会团队在邮件列表中指出,Tomcat中存在一个严重的拒绝服务(DoS)漏洞,以及一个摘要式身份验证漏洞。
1. 拒绝服务(DoS)漏洞(CVE-2012-2733)
漏洞描述:
在HTTP NIO连接器请求解析过程中,用于限制请求头大小的检查进程实施太晚,这允许攻击者通过发送一个请求头非常大的单个请求来触发内存溢出(OutOfMemoryError)。
严重程度:重要
影响版本:
- Tomcat 7.0.0 ~ 7.0.27
- Tomcat 6.0.0 ~ 6.0.35
2. 摘要式身份验证(DIGEST authentication)漏洞(
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
