Apache Tomcat AJP协议安全限制绕过漏洞
唐潮_小五 2015-11-24 02:52:13 请问一下达人,这个漏洞怎么解决呀。
我的Apache Tomcat 6.0.9
之前用的Apache Tomcat 6.0.20
也是有这个问题,然后我就下了一个高版本的,希望能解决这个问题。但是换了版本后,问题依旧。
详细信息如下
详细描述 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能.
Tomcat在AJP协议的实现上存在安全限制绕过漏洞,远程攻击者可利用此漏洞绕过某些安全限制。
此漏洞源于Apache Tomcat错误处理了某些请求,可被利用注入任意AJP消息并泄露敏感信息或绕过身份验证机制。成功利用需要不使用org.apache.jk.server.JkCoyoteHandler AJP连接器,接受POST请求,不处理请求主体。
<*来源:Apache
链接:3C4E5BEDE0.8010604@apache.org%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/tomcat-announce/201108.mbox/%3C4E5BEDE0.8010604@apache.org%3E
http://tomcat.apache.org/#Fixed_in_Apache_Tomcat_7.0.21_%28not_yet_released%29
*>
解决办法 厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://jakarta.apache.org/tomcat/index.html
威胁分值 7
危险插件 否
发布日期 2011-08-29
CVE编号 CVE-2011-3190
BUGTRAQ 49353
NSFOCUS 17626
CNNVD编号 CNNVD-201108-510
CNCVE编号 CNCVE-20113190
CVSS评分 7.5
CNVD编号 CNVD-2011-07036
但是通过里面的方法,也解决不了,有人能解决吗?请告之。谢谢。