Apache Tomcat安全漏洞警告
发布时间 2018-07-25漏洞编号和级别
CVE-2018-8034 厂商自评:低 CVSS分值:官方未评定
CVE-2018-8037 厂商自评:重要 CVSS分值:官方未评定
CVE-2018-1336 厂商自评:重要 CVSS分值:官方未评定
漏洞概述
Apache Tomcat发布安全更新,修复多个安全漏洞,包括可导致信息泄露的漏洞(CVE-2018-8037)、可导致拒绝服务的漏洞(CVE-2018-1336)以及安全绕过漏洞(CVE-2018-8034)。目前没有发现任何利用这些漏洞的事件。建议用户尽快更新至最新版本。
CVE-2018-8034
原因在于WebSocket客户端使用TLS时缺少主机名验证,并且是默认启用的。
影响版本:
Apache Tomcat 9.0.0.M1 to 9.0.9
Apache Tomcat 8.5.0 to 8.5.31
Apache Tomcat 8.0.0.RC1 to 8.0.52
Apache Tomcat 7.0.35 to 7.0.88
修复建议:
升级至Apache Tomcat 9.0.10 or later
升级至Apache Tomcat 8.5.32 or later
升级至Apache Tomcat 8.0.53 or later
升级至Apache Tomcat 7.0.90 or later
CVE-2018-8037
原因在于跟踪连接关闭时的错误导致在新连接中重用用户会话。
影响版本:
Apache Tomcat 9.0.0.M9 to 9.0.9
Apache Tomcat 8.5.5 to 8.5.31
修复建议:
升级至Apache Tomcat 9.0.10 or later
升级至Apache Tomcat 8.5.32 or later
CVE-2018-1336
原因在于在具有补充字符的UTF-8解码器中不正确地处理溢出可能导致解码器中的无限循环导致拒绝服务。
影响版本:
Apache Tomcat 9.0.0.M9 to 9.0.7
Apache Tomcat 8.5.0 to 8.5.30
Apache Tomcat 8.0.0.RC1 to 8.0.51
Apache Tomcat 7.0.28 to 7.0.86
修复建议:
升级至Apache Tomcat 9.0.7 or later
升级至Apache Tomcat 8.5.32 or later
升级至Apache Tomcat 8.0.52 or later
升级至Apache Tomcat 7.0.90 or later
修复建议
ASF官方布更新补丁:http://tomcat.apache.org/security-9.html,建议用户尽快更新至最新版本。
参考链接
http://tomcat.apache.org/security-9.html
https://thehackernews.com/2018/07/apache-tomcat-server.html