漏洞起因
设计错误
危险等级
低
影响系统
Apache Software Foundation Tomcat 7.0.1
Apache Software Foundation Tomcat 7.0.1
Apache Software Foundation Tomcat 7.0 beta
Apache Software Foundation Tomcat 7.0
Apache Software Foundation Tomcat 7.0.11
Apache Software Foundation Tomcat 7.0.10
不受影响系统
Apache Software Foundation Tomcat 7.0.12
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问Apache Tomcat HTTP BIO连接器。
漏洞信息
Apache Tomcat是一款开放源码的JSP应用服务器程序。
HTTP BIO连接器为了支持Servlet 3.0异步请求而引入的变更没有充分考虑HTTP管线化,结果当使用HTTP管线化时会发生包括请求应答混合的不可预期的行为。这些请求应答信息可能来自相同用户也可能来自不同用户,也意味着有可能在应答中泄露敏感信息。
测试方法
厂商解决方案
Apache Software Foundation Tomcat 7.0.12已经修复此漏洞,建议用户下载使用:
http://apache.mirror.iweb.ca/tomcat/tomcat-7/v7.0.12/binhttp://apache. mirror.iweb.ca/tomcat/tomcat-7/v7.0.12/bin/apache-tomcat-7.0.12.zip
漏洞提供者
Brad Piles
漏洞消息链接
http://seclists.org/fulldisclosure/2011/Apr/97
0 条评论。