漏洞起因
设计错误
危险等级
低
影响系统
Apache Software Foundation Tomcat 7.0.13
Apache Software Foundation Tomcat 7.0.12
不受影响系统
Apache Software Foundation Tomcat 7.0.14
危害
远程攻击者可以利用漏洞绕过部分验证请求获得敏感信息。
攻击所需条件
攻击者必须访问Apache Tomcat。
漏洞信息
Apache Tomcat是一款开放源码的JSP应用服务器程序。
针对CVE-2011-1088/CVE-2011-1183的补丁存在一个错误,通过注释(Annotations)配置的security constraints不会对第一个提交给Servlet的请求进行强制约束,后续的请求会正确安全的进行处理。
测试方法
厂商解决方案
Apache Software Foundation Tomcat 7.0.14已经修复此漏洞,建议用户下载使用:
http://tomcat.apache.org/
漏洞提供者
Apache Tomcat security team
0 条评论。