Apache Tomcat信息泄露漏洞(CVE-2016-8745)

10.4.62.91 10.4.62.92 10.4.62.93 10.4.62.94

Apache Tomcat信息泄露漏洞(CVE-2016-8745):可通过HTTP获取远端WWW服务信息

发布时间：2016-12-12

重要程度：重要

受影响的版本：

Apache Tomcat 9.0.0.m1到9.0.0.m13

Apache Tomcat 8.5.0到8.5.8

更早期版本不受影响

描述：

8.5.x 的 Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归，因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存，这意味着处理器可以用于并发请求，共享处理器可导致请求之间的信息泄漏，包括但不限于会话ID和响应体。

解决方案：

安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决：

切换到 NIO2 HTTP 或 APR HTTP 连接器

禁止发送文件

升级到 Apache Tomcat 9.0.0.M15 或更高版本（Apache Tomcat 9.0.0.M14有修复，但没有发布）

升级到 Apache Tomcat 8.5.9或更高版本

relist

说明：本人升级到8.5.11版本成功解决这个漏洞。

时间： 2024-12-24 18:20:25

Apache Tomcat信息泄露漏洞(CVE-2016-8745)的相关文章

国内某厂商摄像头敏感信息泄露漏洞事件分析

国内某厂商摄像头敏感信息泄露漏洞事件分析 PDF 版报告下载: 国内某厂商摄像头敏感信息泄露事件分析English Version: Webcam Sensitive Information Disclosure Vulnerability Analysis 1. 事件概述国内某家监控产品供应商和解决方案服务商旗下有多款监控摄像机以及相关的配套设备.2017年3月5日,知道创宇旗下漏洞平台Seebug[0]上收录了一位名为"bashis"的国外安全研究员发布了一个漏洞公告,声称该厂商

Apache Tomcat文件包含漏洞紧急修复

Tomcat 漏洞 tomcat有漏洞, 需要升级到9.0.31 https://cert.360.cn/warning/detail?id=849be16c6d2dd909ff56eee7e26aeefe 2020年02月20日, 360CERT 监测发现国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems

Windows2008 r2“Web服务器HTTP头信息泄露”漏洞修复

一.漏洞名称漏洞名称漏洞摘要修复建议 Web服务器HTTP头信息泄露远程Web服务器通过HTTP头公开信息. 修改Web服务器的HTTP头以不公开有关底层Web服务器的详细信息. 二.安装IIS 6 管理兼容性右击[角色][Web服务器(IIS)],点击[添加角色服务],勾选"IIS 6 管理兼容性",点击下一步安装. 三.安装urlscan_v31_x64 1.安装urlscan3.1 2.安装UrlScan3.1,利用UrlScan 3.1的特性,修改配置文件C:\Win

Nginx敏感信息泄露漏洞（CVE-2017-7529）

2017年7月11日,为了修复整数溢出漏洞(CVE-2017-7529), Nginx官方发布了nginx-1.12.1 stable和nginx-1.13.3 mainline版本,并且提供了官方patch. 当使用Nginx并且开启缓存功能时,攻击者可以构造特定header头字段,能越界读取到缓存文件的文件头信息.文件头信息中可能会包含Nginx代理站点的真实IP,造成敏感信息泄露. 另外,一些第三方模块可能会因此导致拒绝服务或者当前进程的内存泄漏,但Nginx官方暂未发现这样的第三方模块.

PostgreSQL信息泄露漏洞

受影响系统:PostgreSQL PostgreSQL 9.4PostgreSQL PostgreSQL 9.3描述:BUGTRAQ ID: 74790CVE(CAN) ID: CVE-2015-3166 PostgreSQL是一款高级对象-关系型数据库管理系统,支持扩展的SQL标准子集. PostgreSQL 9.3及9.4版本,函数snprintf()的替换实现中,没有检查下层数据库报告的错误,可能造成内存不足,导致信息泄露. 来源:成都app制作 www.cxb360.com

泛微e-cology OA系统某接口存在数据库配置信息泄露漏洞复现

1.简介(开场废话) 攻击者可通过存在漏洞的页面直接获取到数据库配置信息.如果攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器. 2.影响范围漏洞涉及范围包括不限于8.0.9.0版 3.搭建个环境(其实环境不重要,信息泄露这个东西) 4.已知漏洞点出现在/mobile/dbconfigreader.jsp这个页面(开始胡乱分析...有错还希望师傅们指出来) 直接看源代码好了,搜了一圈没找到8.0的安装包,我太难了,借张图过来,嘿嘿嘿来源:https://mp.wei

SNMP信息泄露漏洞

SNMP协议简介名称:SNMP(Simple Network Management Protocol)简单网络管理协议端口:161 协议:UDP 用途:SNMP代理者以变量呈现管理资料.管理系统透过GET,GETNEXT和GETBULK协定指令取回资讯,或是代理者在没有被询问的情况下,使用TRAP或INFORM传送资料.管理系统也可以传送配置更新或控制的请求,透过SET协定指令达到主动管理系统的目的.配置和控制指令只有当网络基本结构需要改变的时候使用,而监控指令则通常是常态性的工作. SNM

基于RedHat发行的Apache Tomcat本地提权漏洞

描述 Tomcat最近总想搞一些大新闻,一个月都没到,Tomcat又爆出漏洞.2016年10月11日,网上爆出Tomcat本地提权漏洞,漏洞编号为CVE-2016-5425.此次受到影响的主要是基于RedHat发行版Apache Tomcat,包括CentOS,RedHat,OracleLinux,Fedora等等.主要原因是普通Tomcat用户拥有权限来对/usr/lib/tmpfiles.d/tomcat.conf这个配置文件进行读写,那么该用户组成员或者拥有普通Tomcat权限的WebSh

Apache Tomcat AJP协议高危漏洞风险提示

关于Apache Tomcat存在文件包含漏洞的安全公告 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938).攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件.目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复. 一.漏洞情况分析 Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应