Apache Tomcat 拒绝服务及信息泄露漏洞预警

发布时间:2018-07-24

一、概要

近期Apache Software Foundation发布了多个与Apache Tomcat相关的安全补丁更新公告,修复了多个安全问题。其中包含两个官方评级为重要的漏洞(CVE-2018-1336、CVE-2018-8037),攻击者可利用漏洞对服务器发起拒绝服务攻击或获取服务器敏感信息。

CVE-2018-1336:由于 UTF-8 解码器对输入字符处理不当产生,可以造成拒绝服务攻击;

CVE-2018-8037:由于连接跟踪机制中的一个BUG而产生,可能造成用户信息泄露。

参考链接:

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html


二、漏洞级别

漏洞级别:【重要】

(说明:漏洞级别共四级:一般、重要、严重、紧急。)


三、影响范围

漏洞影响Apache Tomcat如下版本:

Apache Tomcat 9.0.0.M1 到 9.0.9 版本

Apache Tomcat 8.5.0 到 8.5.31 版本

Apache Tomcat 8.0.0.RC1 到 8.0.52 版本

Apache Tomcat 7.0.28 到 7.0.88 版本


四、安全建议

目前厂商已发布最新版本修复了上述问题,建议受影响的租户随时关注厂商的下载页面以获取对应的最新版本,官方对应最新版本下载链接如下:

Apache Tomcat 9.0.10:https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.32/8.0.53:https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.90:https://tomcat.apache.org/download-70.cgi


注意:修复漏洞前请将资料备份,并进行充分测试。