Tomcat 全系安全漏洞，请尽快修复

知友在官方了解到，Apache Tomcat团队今天发布公告称，Tomcat 6.x、7.x、8.x三个分支均发现安全漏洞，其中两个为重要的漏洞，建议用户尽快修复。

1.  DoS漏洞

Apache Tomcat开发团队之前修复了一个DoS漏洞，但没有修复完全。

等级：重要

受影响版本：

• Apache Tomcat 8.0.0-RC1 ~ 8.0.0-RC5
• Apache Tomcat 7.0.0 ~ 7.0.47
• Apache Tomcat 6.0.0 ~ 6.0.37

2.  信息泄露漏洞

Apache Tomcat开发团队之前修复了一个信息泄露漏洞，但没有修复完全。

等级：重要

受影响版本：

• Apache Tomcat 8.0.0-RC1
• Apache Tomcat 7.0.0 ~ 7.0.42
• Apache Tomcat 6.0.0 ~ 6.0.37

3.  XXE信息泄露漏洞

当运行不受信任的Web应用时，通过XXE可导致信息泄露问题。

等级：低

受影响版本：

• Apache Tomcat 8.0.0-RC1 ~ 8.0.0-RC5
• Apache Tomcat 7.0.0 ~ 7.0.47
• Apache Tomcat 6.0.0 ~ 6.0.37

4.  会话确定攻击漏洞

当启用disableURLRewriting后，可能会导致会话确定（Session fixation）——攻击者为受害者确定一个会话ID从而达到攻击的目的。

等级：低

受影响版本：

• Apache Tomcat 6.0.33 ~ 6.0.37

修复方法

Apache Tomcat最新版本中修复了这些漏洞，请升级至如下版本。

• 升级至Apache Tomcat 8.0.0-RC10或更新版本
• 升级至Apache Tomcat 7.0.50或更新版本
• 升级至Apache Tomcat 6.0.39或更新版本

更多信息： http://tomcat.apache.org/security.html

下载地址： http://tomcat.apache.org/