Tomcat JK Connector 溢出漏洞, 官方提供補(bǔ)丁

Apache Tomcat是一個(gè)流行的開(kāi)放源碼的JSP/Servlet應(yīng)用服務(wù)器。最近剛剛發(fā)布了Tomcat 6.0的穩(wěn)定版本.

而最近出現(xiàn)的一個(gè)溢出漏洞, 不過(guò)官方很快便推出了防范補(bǔ)丁.

Tomcat JK Web Server Connector的mod_jk.so庫(kù)在處理超長(zhǎng)畸形的URL時(shí)存在漏洞，遠(yuǎn)程攻擊者可能利用此漏洞控制服務(wù)器。

Apache Tomcat JK Web Server Connector的mod_jk.so庫(kù)URI處理器map_uri_to_worker()是在native/common/jk_uri_worker_map.c文件中定義的。當(dāng)該庫(kù)在解析超過(guò)4095字節(jié)的超長(zhǎng)URL請(qǐng)求時(shí)URI worker映射例程沒(méi)有執(zhí)行安全的內(nèi)存拷貝，導(dǎo)致棧溢出。成功利用這個(gè)漏洞的攻擊者可以導(dǎo)致拒絕服務(wù)或執(zhí)行任意指令。

受影響系統(tǒng)：
Apache Tomcat 5.5.20
Apache Tomcat 4.1.34
Apache Tomcat JK Web Server Connector 1.2.20
Apache Tomcat JK Web Server Connector 1.2.19

不受影響系統(tǒng)：
Apache Tomcat JK Web Server Connector 1.2.21

官方下載補(bǔ)丁：
目前官方已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問(wèn)題，請(qǐng)到以下鏈接下載：
http://www.apache.org/dist/tomcat/tomcat-connectors/jk/source/jk-1.2.21/tomcat-connectors-1.2.21-src.tar.gz

posted on 2007-03-07 16:14 獅子心閱讀(864) 評(píng)論(2) 編輯收藏

Comments

# re: Tomcat JK Connector 溢出漏洞, 官方提供補(bǔ)丁

千里冰封

開(kāi)源的就是快

Posted @ 2007-09-28 17:17 回復(fù) 更多評(píng)論

# 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全

無(wú)奈了哎求具體利用方法

Posted @ 2010-11-06 14:06 回復(fù) 更多評(píng)論

新用戶注冊(cè) 刷新評(píng)論列表


只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。




網(wǎng)站導(dǎo)航: 博客園 IT新聞 Chat2DB C++博客博問(wèn) 管理

My Links

Blog Stats

常用鏈接

留言簿(6)

我參與的團(tuán)隊(duì)

隨筆分類(17)

隨筆檔案(29)

文章分類(6)

文章檔案(8)

新聞檔案(2)

外部鏈接

積分與排名

最新隨筆

最新評(píng)論

閱讀排行榜

評(píng)論排行榜

Tomcat JK Connector 溢出漏洞, 官方提供補(bǔ)丁