UCloud-201807-003:Apache Tomcat 拒绝服务及信息泄露漏洞安全预警
- 发布时间 2018-07-24
- 更新时间 2018-07-24
- 漏洞等级 High
- CVE编号 CVE-2018-8037、CVE-2018-1336
漏洞详情
Apache发布Apache Tomcat的安全更新,修复多个安全漏洞,其中两个重要漏洞(CVE-2018-8037、CVE-2018-1336)可导致服务器信息泄露和拒绝服务。
1)CVE-2018-1336:由于 UTF-8 解码器对输入字符处理不当产生溢出,从而可造成拒绝服务攻击。
2)CVE-2018-8037:由于连接跟踪机制中的BUG,可导致用户会话被重用从而造成用户信息泄露。
影响范围
Apache Tomcat 9.0.0.M9到9.0.9
Apache Tomcat 8.5.0到8.5.31
Apache Tomcat 8.0.0.RC1到8.0.51
Apache Tomcat 7.0.28到7.0.86
修复方案
用户需要升级到官网发布的安全修复版本:
- 升级到Apache Tomcat 9.0.10或更高版本。
- 升级到Apache Tomcat 8.5.32或更高版本。
- 升级到Apache Tomcat 8.0.52或更高版本。
- 升级到Apache Tomcat 7.0.90或更高版本。
