Apache Tomcat全系产品再次爆出严重的安全漏洞,赶紧升级最新版本。

最新推荐文章于 2025-06-12 15:37:19 发布
转载 最新推荐文章于 2025-06-12 15:37:19 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/iatbforever/blog/277580
文章标签:

#java #操作系统 #python

近期Apache Tomcat曝出包含DoS及信息泄露在内的五个严重安全漏洞。这些漏洞可能造成拒绝服务及敏感信息泄露等问题,影响网站安全。建议使用Tomcat的用户尽快升级至最新版本以修复漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

尊敬的用户:
       最近,Apache Tomcat全系产品再次爆出严重的安全漏洞,包括2个DoS漏洞和3个信息泄露漏洞。这些漏洞可能导致拒绝服务和信息泄露,严重影响到网站的安全。建议各位阿里用户关注并尽快升级系统修复漏洞!漏洞内容和修复方式如下。

升级版本的官方下载地址:http://tomcat.apache.org/
漏洞包括:
(1)CVE-2014-0095:DoS(拒绝服务)漏洞 
(2)CVE-2014-0075:DoS(拒绝服务)漏洞 
(3)CVE-2014-0096:信息泄露漏洞
(4)CVE-2014-0097:信息泄露漏洞
(5).CVE-2014-0119:信息泄露漏洞 


解决方案:
Tomcat 8.x分支升级至Tomcat 8.0.8或更新版本
Tomcat 7.x分支升级至Tomcat 7.0.54或更新版本
Tomcat 6.x分支升级至Tomcat 6.0.41或更新版本

转载于:https://my.oschina.net/iatbforever/blog/277580

漏洞复现】Apache Tomcat条件竞争代码执行漏洞CVE-2024-50379)
李火火的安全圈
12-23 1024
由于Windows文件统与Tomcat在路径大小写区分处理上的不一致,当启用了默认servlet的写入功能(设置readonly=false且允许PUT方法),未经身份验证的攻击者可以构造特殊路径绕过Tomcat的路径校验机制,通过条件竞争不断发送请求上传包含恶意JSP代码的文件触发Tomcat对其解析和执行,从而实现远程代码执行。
Tomcat爆出高危漏洞Tomcat 8.5 ~ 10 中招…
06-27 3108
开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。 不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。 光这半年以来,所知道的就有 Dubbo、FastJSON、Tomcat: 前段时间这个 Tomcat AJP 协议漏洞大开,2020/06/25 这天 Tomcat爆出 HTTP/2 拒绝服务漏洞: http://mail-archives.apache.org/mod
Apache Tomcat文件包含漏洞复现(CVE-2020-1938)
qq_34853514的博客
07-04 5448
漏洞简介 漏洞编号: CVE-2020-1938 漏洞详情: Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。而该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者可通过构造特定参数读取webapp目录下的任意文件。 漏洞影响范围: Apache Tomcat = 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31 漏洞复现 环境搭建:
Apache Tomcat 文件包含漏洞CVE-2020-1938)
小小关的博客
06-29 1132
Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。 Ghostcat(幽灵猫) 是由长亭科技安研究员发现的存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。此外在目标应用有文件上
CVE-2020-1938源码分析与漏洞复现(Tomcat 文件包含/读取)
最新发布
spinage的博客
06-12 2012
漏洞摘要 CVE-2020-1938(Ghostcat)是Apache Tomcat AJP协议中的一个高危漏洞,影响Tomcat 6.x至9.x版本。该漏洞源于AJP协议处理器未对请求路径进行安校验,攻击者可通过构造恶意AJP请求读取Web目录任意文件(包括WEB-INF下的敏感文件),结合文件上传功能可实现远程代码执行(RCE)。漏洞利用需满足AJP服务开启且端口可访问的条件,CVSS评分为9.8。修复方案为升级Tomcat 7.0.100、8.5.52或9.0.31及以上版本。利用过程可通过工具实
Apache Tomcat 再次爆出安全漏洞
weixin_34130389的博客
01-14 1108
2019独角兽企业重金招聘Python工程师标准>>> ...
Tomcat又爆严重安全漏洞
12-06 837
Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。 1.拒绝服务漏洞CVE-2012-4534) 等级:严重 受影响版本: To...
Tomcat漏洞详解
m0_64481831的博客
03-06 4011
Tomcat是一种轻量级的web服务器,主要负责运行jsp和Servlet具有任意文件写入漏洞:主要影响7.0-7.8左右,原因是因为配置不当问题(conf/web.xml文件的readonly参数定义为false),导致可以使用PUT方法进行任意文件上传。jsp绕过方法有斜杠绕过、空格绕过和::$DATA绕过(后两者都需要在Windows下)具有文件包含漏洞:主要影响6和8版本,7和9版本有少数;原因是因为AJP协议存在缺陷而导致攻击者可以构造任意参数来进行任意文件包含和读取文件。
Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响
javalingyu的博客
06-02 1025
01 事件背景6月25日, Apache 官方安团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示:Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5Apache Tomcat 9.0.0.M1 ~ 9.0.35Apache Tomcat 8.5.0 ~ 8.5.55如果条件允许,可以通过升级Tomcat新版本来解决漏洞。下面为受影响版本对应的安版本:02 Spring Cloud / Boot 框架影响Apache Tomca
Apache Tomcat爆出绕过漏洞CVE-2017-5664 789大部分版本受影响
weixin_33785108的博客
09-01 5180
Apache Tomcat由于设置错误,出现了tomcat绕过漏洞CVE-2017-5664,攻击者利用这个漏洞可以绕过某些安性限制,执行未授权动作。这可能引发更多攻击。如下版本受到影响 Apache Tomcat 9.0.0.M1至 9.0.0.M20 Apache Tomcat 8.5.0 至 8.5.14 Apache Tomcat...
Centos7.x_Tomcat7版本升级解决漏洞sql注入问题
weixin_41762839的博客
06-09 1121
今天给各位小伙伴带来一篇tomcat的版本升级的文章,因为前一段tomcat爆出漏洞,会被sql注入,遭受攻击影响正常使用,所以升级来封堵漏洞,废话不多说,直接上干货!! Tomcat原版本:7.0.56 Tomcat新版本:7.0.104 原tomcat安装路径: /opt/tomcat-7.0.56 下载新版apache-tomcat-7.0.104,上传至服务器指定目录/opt/pkg 官方下载地址:https://tomcat.apache.org/download-70.cgi
Apache-tomcat-6.0.53 for Linux(Redhat/CentOS测试通过)
11-23
提供tomcat6 for linux,给急需使用的朋友应急,官网上不好找了。Redhat6.6下测试通过。安装说明: 1.解压并且解包 输入命令:tar -zxvf apache-tomcat-6.0.53.tar.gz 在目录下有apache-tomcat-6.0.53文件夹,重命名为tomcat 2、修改环境变量 在目录/etc下修改profile文件 export CATALINA_HOME=/usr/local/tomcat export CLASSPATH=.:$JAVA_HOME/lib:$CATALINA_HOME/lib export PATH=$PATH:$CATALINA_HOME/bin 执行命令: source /etc/profile 查看环境变量: echo $CLASSPATH 3. 启动tomcat: ./catalina.sh start (关闭tomcat ./shutdown.sh stop) 4.、测试 查看Tomcat是否已经启动netstat -ntl |grep 8080 浏览器地址栏输入 http://localhost:8080/ 如果能看到Tomcat的欢迎页表示整合成功,至此已经完成了Java/JSP服务器的搭建。
apache-tomcat-6.0.53
06-08
用于windows服务发布项目
apache-tomcat-6.0.53.tar.gz&&apache;-tomcat-6.0.53.zip
10-14
包含apache-tomcat-6.0.53.tar.gz, linux版本,启动快,占用资源小,统稳定,6版本最终版本,不可多得.同时包含apache-tomcat-6.0.53.zip可在windows下使用.
apache-tomcat-6.0.53.zip
02-13
apache-tomcat-6.0.53.zip
apache-tomcat-6.0.53版本32位和64位
03-21
tomcat6版本最新稳定压缩版,资源内容包括32位及64位两个资源,另外赠送其他版本号的下载方式。 tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选
Apache Tomcat文件包含漏洞复现(详细教程)
weixin_60838266的博客
07-18 4680
TomcatApache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
Apache Tomcat 文件包含漏洞CVE-2020-1938)操作指南
乐大厨串串香飘万里
08-09 942
1.漏洞详细TomcatApache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读
tomcat8.0.3 的缺陷!
leap fly 技术博客
03-09 1742
javaweb开发过程中的tomcat问题!!tomcat8.0.3 的缺陷!当在lib文件导入文章中的几个包是报错!!时运行时控制台报错!!!!!降低版本就行了!!!!开javaweb开发过程中的tomcat问题!!tomcat8.0.3 的缺陷!当在lib文件导入文章中的几个包是报错!!时运行时控制台报错!!!!!降低版本就行了!!!!开javaweb开发过程中的tomcat问题!!tomcat8.0.3 的缺陷!当在lib文件导入文章中的几个包是报错!!时运行时控制台报错!!!!!降低版本就行了!!
Apache Tomcat 8.5.28版本漏洞修复与安预警
标题和描述中提到的"Tomcat-8.5.28 无漏洞"以及"Apaceh_Tomcat存在安限制绕过的漏洞预警 更新版本下载(漏洞修复后版本)",所涉及的知识点主要围绕Apache Tomcat服务器的安性和版本更新。 Apache Tomcat是一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值