Apache Tomcat再次爆出安全漏洞：

漏洞：CVE-2011-3190 Apache Tomcat繞過(guò)驗(yàn)證和信息泄露

嚴(yán)重性：嚴(yán)重

公布方：Apache軟件基金會(huì)

受影響的版本：

Tomcat 7.0.0 ~ 7.0.20的所有版本

Tomcat 6.0.0 ~ 6.0.33的所有版本

Tomcat 5.5.0 ~ 5.5.33的所有版本

早期的已不再提供支持的版本也可能受影響

Apache Tomcat支持AJP協(xié)議，用來(lái)通過(guò)反向代理到Tomcat的請(qǐng)求和相關(guān)的數(shù)據(jù)，AJP協(xié)議的作用是，當(dāng)一個(gè)請(qǐng)求包含請(qǐng)求主體時(shí)，一個(gè)未經(jīng)允許的、包含請(qǐng)求主體首部分(或可能所有的)的AJP消息被發(fā)送到Tomcat。在某些情況下，Tomcat會(huì)把這個(gè)消息當(dāng)作一個(gè)新的請(qǐng)求來(lái)處理，而不會(huì)當(dāng)作請(qǐng)求主體。這可能導(dǎo)致攻擊者完全控制AJP消息，允許攻擊者：

插入已驗(yàn)證用戶的名字

插入任何客戶端的IP地址(可能繞過(guò)任何客戶端IP地址的過(guò)濾)

導(dǎo)致用戶之間的響應(yīng)混亂

下面的AJP連接器實(shí)現(xiàn)不會(huì)受到影響：

org.apache.jk.server.JkCoyoteHandler (5.5.x - default, 6.0.x - default)

下面的AJP連接器實(shí)現(xiàn)會(huì)受到影響：

org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x - default)

org.apache.coyote.ajp.AjpNioProtocol (7.0.x)

org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)

此外，這個(gè)問(wèn)題只適用于以下都為真的情況：

POST請(qǐng)求被接受

請(qǐng)求主體沒(méi)有被處理

舉例：參見(jiàn) https://issues.apache.org/bugzilla/show_bug.cgi?id=51698

解決措施：

升級(jí)Apache Tomcat到已經(jīng)修復(fù)此問(wèn)題的版本。

安裝相應(yīng)的補(bǔ)?。?/p>

- 7.0.x http://svn.apache.org/viewvc?rev=1162958&view=rev

http://svn.apache.org/viewvc?view=revision&revision=1162958

- 6.0.x http://svn.apache.org/viewvc?rev=1162959&view=rev

http://svn.apache.org/viewvc?view=revision&revision=1162959

- 5.5.x http://svn.apache.org/viewvc?rev=1162960&view=rev

http://svn.apache.org/viewvc?view=revision&revision=1162960

配置反向代理和Tomcat AJP連接器，使用requiredSecret屬性。

使用org.apache.jk.server.JkCoyoteHandler AJP連接器(不適用于 Tomcat 7.0.x)

原文：http://www.iteye.com/news/22650

【編輯推薦】

1. Tomcat 6.0+Oracle 10g數(shù)據(jù)源連接測(cè)試詳解
2. 使用TOMCAT連接池連接MySQL
3. Tomcat集群和Session共享的配置方法
4. apache+jk+tomcat負(fù)載均衡（windows系統(tǒng)）
5. Apache+Tomcat集群配置詳解