文件上传组件导致 Tomcat 7&8 DoS 安全漏洞

最新推荐文章于 2025-08-23 19:36:46 发布
转载 最新推荐文章于 2025-08-23 19:36:46 发布 · 140 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/112760
文章标签:

#java #操作系统

由于Apache Commons Fileupload的问题,导致Tomcat多个版本存在DoS漏洞。受影响版本包括Commons FileUpload1.0至1.3及Tomcat7.0.0至7.0.50等。解决方法包括升级至不受影响的版本或应用补丁。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

由于 Apache Commons Fileupload 文件上传组件的问题,导致全系的 Tomcat 版本存在 DoS 安全漏洞。所影响的版本包括:

- - Commons FileUpload 1.0 to 1.3
- - Apache Tomcat 8.0.0-RC1 to 8.0.1
- - Apache Tomcat 7.0.0 to 7.0.50
- - Apache Tomcat 6 and earlier are not affected

解决该漏洞的方法:

- - Upgrade to Apache Commons FileUpload 1.3.1 or later once released
- - Upgrade to Apache Tomcat 8.0.2 or later once released
- - Upgrade to Apache Tomcat 7.0.51 or later once released
- - Apply the appropriate patch
  - Commons FileUpload: http://svn.apache.org/r1565143
  - Tomcat 8: http://svn.apache.org/r1565163
  - Tomcat 7: http://svn.apache.org/r1565169
- - Limit the size of the Content-Type header to less than 4091 bytes

该漏洞的详细描述请看这里。

文章转载自 开源中国社区 [http://www.oschina.net]

Java 领域 Tomcat安全漏洞检测与修复
Java大师兄的博客
07-09 650
本文旨在为Java开发人员和系统管理员提供全面的Tomcat安全漏洞检测与修复指南。内容涵盖从基础概念到高级防护技术的完整知识体系,特别关注实际生产环境中的安全问题和解决方案。文章首先介绍Tomcat安全的基础知识,然后深入分析漏洞检测技术,接着提供详细的修复方案,最后探讨未来发展趋势。每个部分都包含理论知识和实践指导。Tomcat: Apache软件基金会的一个开源Web应用服务器,实现了Java Servlet和JSP规范CVE。
【主机漏洞扫描常见修复方案】:Tomcat安全(机房对外Web服务扫描)
专注于计算机研发知识和资讯分享
10-24 585
【代码】运维小技能:Tomcat安全(机房对外Web服务扫描)
攻防:文件上传漏洞的攻击与防御
weixin_34357887的博客
03-10 1012
不少系统管理员都有过系统被上传后门,木马或者是网页被人篡改的经历,这类攻击相当一部分是通过文件上传进行的。入侵者是如何做到这些的,又该如何防御,本文以PHP脚本语言为例,简要介绍文件上传漏洞,并结合实际漏洞演示如何利用漏洞进行上传攻击。 一、 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebSh...
Maven之tomcat7-maven-plugin 版本低的问题
xiaotu的博客
08-17 1360
所以,实际上上传文件的方案,还是 commons-fileupload 更常见,Servlet 3.0 开始出现的内置的上传方案并没有那么美好。原因 2:tomcat7 支持 Servlet 3.0,tomcat8 支持 Servlet 3.1,实际上 Servlet 3.0 和 3.1 的区别并不大,甚至说,从 Servlet 3.0 开始,tomcat 的新特性在绝大多数的项目中都用不上,所以,tomcat8-maven-plugin 的高级也没高到哪里去。但是,这个问题并不是问题,至少不是大问题。
SpringBoot内嵌Tomcat版本升级步骤
Marclew_的博客
02-23 8881
SpringBoot内嵌Tomcat版本升级步骤 Apache Commons FileUpload漏洞(CVE-2023-24998)
实战:tomcat版本升级
weixin_45533230的博客
07-07 5422
tomcat版本升级,由原来的apache-tomcat-7.0.96升级到apache-tomcat-7.0.109 版本: 1、先把原来的备份:mv apache-tomcat-7.0.96-1 apache-tomcat-7.0.96-1.bak; mv apache-tomcat-7.0.96-3 apache-tomcat-7.0.96-3.bak ;mv apache-tomcat-7.0.96-2 apache-tomcat-7.0.96-2.bak; 2、将新版
Apache Tomcat安全漏洞列表以及修补建议
Keep learing, and stay fast
08-31 4222
Apache Tomcat安全漏洞列表
apache tomcat文件上传组件导致apache dos漏洞
若鱼的专栏
02-13 1678
我们现在的文件上传基本上都是基于http协议的,rfc1867 (http://www.ietf.org/rfc/rfc1867.txt) 为 http 协议添加了文件上传功能,可以根据以下格式上传文件内容   POST /xxxxx/yyyyy HTTP/1.1 Accept: text/plain, */* Accept-Language: zh-cn Host:xx.xx.x
tomcat 升级8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞)
04-16
描述中提到的“在8.5.98基础上,增加了修复CVE-2024-24549拒绝访问漏洞的代码”,这表明Tomcat 8.5.99主要的更新内容是针对一个名为CVE-2024-24549的安全漏洞进行修复。CVE(Common Vulnerabilities and Exposures)...
MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析
gg1229505432的博客
02-13 5875
MySQL Connectors组件8.0.12及之前版本的Connector/J子组件存在安全漏洞及其相关性分析
Web中间件常见安全漏洞总结
qq_40907977的博客
08-14 6981
IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。IIS目前只适用于Windows系统,不适用于其他操作系统。 解析漏洞 IIS 6.X 基于文件名 该版本 默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析,原理是 服务器默认不解析; 号及其后面的内容,相当于截断。 基于文件夹名 该版本 默认会将 *.asp/目录下的所有文件当成Asp解析。 另外,IIS6.
apache commons fileupload 安全漏洞(2016-07-01更新)
Jog熊吉的博客
07-22 5759
Apache Commons FileUpload安全漏洞 该页面列出所有Apache Commons FileUpload发行版中修复的安全漏洞。每个安全漏斗都由开发团队给予安全影响等级——请注意该等级可能给予系统而变化。我们还列出Commons FileUpload版本已知漏洞的影响,以及各版本未证实漏洞会附带问号进行罗列。 请注意该页面未提供二进制文件补丁。如果你需要实施源码补丁,
文件上传的名称问题解决
yunduan1210的博客
11-05 447
生成唯一的文件名 public class UploadUtils{                 public static String getUUIDFileName(String fileName){                 // 将文件名的前面的部分进行截取:xx.jpg        .jpg                int idx = fileName.la
Tomcat任意文件上传漏洞CVE-2017-12615复现测试
热门推荐
黑面狐
09-20 3万+
今天爆出了一个tomcat7的任意文件上传漏洞,看了大牛们的分析后,我自己本地搭建环境复测。 漏洞影响的tomcat版本tomcat7.0.0-7.0.81版本 我本地下载的是tomcat7.0.56版本测试 测试过程: 1.下载tomcat7.0.0-7.0.81版本,解压后修改conf/web.xml文件添加readonly参数,属性值为false 如图: 然后启动tom
深入理解 Spring 的 @ControllerAdvice
Roc的博客
08-20 920
简单来说,是一个组件注解(被@Component元注解标注),它允许你将一个类声明为一个全局的、跨多个控制器的增强器(Advice)。你可以把它理解为 Spring MVC 版本的AOP(面向切面编程),但它不是基于代理,而是专门为控制器层设计的。全局异常处理全局数据绑定全局数据预处理命名清晰:类名如,明确其职责。区分使用场景开发,优先使用,专注于返回统一的 JSON 异常响应。开发传统多页应用,使用,可以混合处理异常、绑定模型等。避免过度使用。
学习Java24天
最新发布
2401_88987098的博客
08-23 194
(调对象的read)相当于数据输入流(DateIntputstream)写什么打什么(如果要追加需要包低级管道,看第一行)161/199(这几天加把劲把JavaSE学完)(需要读时按照对应顺序的数据类型读数据)IO流(缓冲流和特殊流及io框架)(缓冲字节输入流(包装))(包含缓冲字节输出流)
java基础知识总结
yvya_的博客
08-19 1857
java 基础包含语法、面向对象,异常处理、文件操作等方面。
Docker容器化部署实战:Tomcat与Nginx服务配置指南
Java
08-22 257
通过Docker快速部署Tomcat和Nginx服务,使用临时容器提取默认配置并挂载到宿主机实现持久化。
Java虚拟机故障处理工具全指南
qq_73993301的博客
08-20 1250
JVM故障处理工具全景指南:从基础到高阶诊断 本文系统介绍了JVM提供的故障诊断工具链,包括命令行工具(jps、jstat、jinfo、jmap、jhat、jstack、jcmd)和可视化工具(jconsole、VisualVM)。详细解析了各工具的核心功能和使用场景:jps用于进程查看、jstat监控GC行为、jmap生成堆转储等。文章提供了实战建议,强调基线数据收集和工具组合使用的重要性,并指出生产环境的使用注意事项。最后还介绍了远程连接、自动化分析等高级技巧,推荐结合Arthas、MAT等专业工具进行
Apache Tomcat/8.5.23有什么高危漏洞么
07-12
嗯,用户需要查询Apache Tomcat 8.5.23版本的高危漏洞信息。这是个具体的技术安全咨询,需要精准定位漏洞数据。 用户可能是个系统管理员或安全运维人员,正在做漏洞扫描后的修复工作。ta特意提到"高危漏洞",说明...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值