首頁 > 安全研究 > 安全通報 > 安全通告

Apache Tomcat安全漏洞安全通告

發布時間 2018-07-25

漏洞編號和級別


CVE-2018-8034  廠商自評:低    CVSS分值:官方未評定
CVE-2018-8037  廠商自評:重要  CVSS分值:官方未評定
CVE-2018-1336  廠商自評:重要  CVSS分值:官方未評定


漏洞概述


Apache Tomcat發布安全更新,修復多個安全漏洞,包括可導致信息泄露的漏洞(CVE-2018-8037)、可導致拒絕服務的漏洞(CVE-2018-1336)以及安全繞過漏洞(CVE-2018-8034)。目前沒有發現任何利用這些漏洞的事件。建議用戶盡快更新至最新版本。
CVE-2018-8034
 原因在于WebSocket客戶端使用TLS時缺少主機名驗證,并且是默認啟用的。
影響版本:
Apache Tomcat 9.0.0.M1 to 9.0.9
Apache Tomcat 8.5.0 to 8.5.31
Apache Tomcat 8.0.0.RC1 to 8.0.52
Apache Tomcat 7.0.35 to 7.0.88
修復建議:
升級至Apache Tomcat 9.0.10 or later
升級至Apache Tomcat 8.5.32 or later
升級至Apache Tomcat 8.0.53 or later
升級至Apache Tomcat 7.0.90 or later
CVE-2018-8037
 原因在于跟蹤連接關閉時的錯誤導致在新連接中重用用戶會話。
影響版本:
Apache Tomcat 9.0.0.M9 to 9.0.9
Apache Tomcat 8.5.5 to 8.5.31
修復建議:
升級至Apache Tomcat 9.0.10 or later
升級至Apache Tomcat 8.5.32 or later
CVE-2018-1336
 原因在于在具有補充字符的UTF-8解碼器中不正確地處理溢出可能導致解碼器中的無限循環導致拒絕服務。
影響版本:
Apache Tomcat 9.0.0.M9 to 9.0.7
Apache Tomcat 8.5.0 to 8.5.30
Apache Tomcat 8.0.0.RC1 to 8.0.51
Apache Tomcat 7.0.28 to 7.0.86
修復建議:
升級至Apache Tomcat 9.0.7 or later
升級至Apache Tomcat 8.5.32 or later
升級至Apache Tomcat 8.0.52 or later
升級至Apache Tomcat 7.0.90 or later


修復建議


ASF官方布更新補?。?a >http://tomcat.apache.org/security-9.html,建議用戶盡快更新至最新版本。


參考鏈接


http://tomcat.apache.org/security-9.html
https://thehackernews.com/2018/07/apache-tomcat-server.html

下一篇