正文

Apache Tomcat设计错误漏洞

admin
admin V管理员 /0 评论 /6 阅读
0110
此篇文章发布距今已超过1212天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Apache Tomcat设计错误漏洞

  • CNNVD编号:CNNVD-201102-166
    • <!--
  • 危害等级: 低危-->
  • 危害等级: 低危
  • CVE编号: CVE-2010-3718
  • 漏洞类型: 其他
  • 发布时间: 2011-02-10
  • 威胁类型: 本地
  • 更新时间: 2019-04-03
  • 厂        商: apache
  • 漏洞来源: Tomcat security te...

漏洞简介

Apache Tomcat 是一款由Apache Foundation维护的免费开放源代码的Java Servlet和JSP服务程序。

当在SecurityManager中运行时,Apache Tomcat 7.0.0至7.0.3版本,6.0.x,以及5.5.x版本没有将ServletContext属性设为只读。本地web应用程序可以利用该漏洞读或写预设工作目录外的文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://svn.apache.org/viewvc?view=revision&revision=1027610

参考网址

来源:MISC

链接:http://tomcat.apache.org/security-7.html

来源:BID

链接:http://www.securityfocus.com/bid/46177

来源:SECTRACK

链接:http://www.securitytracker.com/id?1025025

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/65159

来源:REDHAT

链接:http://www.redhat.com/support/errata/RHSA-2011-0897.html

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/516211/100/0/threaded

来源:HP

链接:http://marc.info/?l=bugtraq&m=130168502603566&w=2

来源:OVAL

链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A12517

来源:OVAL

链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A13969

来源:SREASON

链接:http://securityreason.com/securityalert/8072

来源:REDHAT

链接:http://www.redhat.com/support/errata/RHSA-2011-0791.html

来源:DEBIAN

链接:http://www.debian.org/security/2011/dsa-2160

来源:MISC

链接:http://tomcat.apache.org/security-6.html

来源:HP

链接:http://marc.info/?l=bugtraq&m=136485229118404&w=2

来源:CONFIRM

链接:http://support.apple.com/kb/HT5002

来源:SECUNIA

链接:http://secunia.com/advisories/45022

来源:MLIST

链接:https://lists.apache.org/thread.html/8dcaf7c3894d66cb717646ea1504ea6e300021c85bb4e677dc16b1aa@%3Cdev.tomcat.apache.org%3E

来源:REDHAT

链接:http://www.redhat.com/support/errata/RHSA-2011-0896.html

来源:OVAL

链接:https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19379

来源:MLIST

链接:https://lists.apache.org/thread.html/06cfb634bc7bf37af7d8f760f118018746ad8efbd519c4b789ac9c2e@%3Cdev.tomcat.apache.org%3E

来源:MANDRIVA

链接:http://www.mandriva.com/security/advisories?name=MDVSA-2011:030

来源:REDHAT

链接:http://www.redhat.com/support/errata/RHSA-2011-1845.html

来源:CONFIRM

链接:http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5098550.html

来源:HP

链接:http://marc.info/?l=bugtraq&m=132215163318824&w=2

来源:SECUNIA

链接:http://secunia.com/advisories/57126

来源:MISC

链接:http://tomcat.apache.org/security-5.html

来源:APPLE

链接:http://lists.apple.com/archives/Security-announce/2011//Oct/msg00003.html

来源:SECUNIA

链接:http://secunia.com/advisories/43192

来源:SUSE

链接:http://lists.opensuse.org/opensuse-security-announce/2011-04/msg00000.html

来源:HP

链接:http://marc.info/?l=bugtraq&m=139344343412337&w=2

受影响实体

  • Apache Tomcat:5.5.30  
    <!--
    2000-1-1
    -->
  • Apache Tomcat:5.5.32  
    <!--
    2000-1-1
    -->
  • Apache Tomcat:5.5.2  
    <!--
    2000-1-1
    -->
  • Apache Tomcat:5.5.19  
    <!--
    2000-1-1
    -->
  • Apache Tomcat:5.5.20  
    <!--
    2000-1-1
    -->

补丁

  • apache-tomcat-5.5.33
    <!--
    2011-2-5
    -->
  • apache-tomcat-5.5.33-src
    <!--
    2011-2-5
    -->
  • apache-tomcat-6.0.32
    <!--
    2011-2-5
    -->
  • apache-tomcat-6.0.32-src
    <!--
    2011-2-5
    -->
  • apache-tomcat-7.0.8
    <!--
    2011-2-5
    -->