漏洞信息详情

Apache Tomcat SecurityConstraints安全限制绕过和信息泄露漏洞

• CNNVD编号：CNNVD-201105-200
• 危害等级： 中危
  
• CVE编号： CVE-2011-1582
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2011-05-19
• 威胁类型： 远程
• 更新时间： 2011-05-23
• 厂        商： apache
• 漏洞来源：

漏洞简介

Apache Apache Tomcat是美国阿帕奇（Apache）软件基金会下属的Jakarta项目的一款轻量级Web应用服务器，它主要用于开发和调试jsP程序，适用于中小型系统。

Apache Tomcat 7.0.12至7.0.13版本中存在安全限制绕过漏洞。该漏洞是由于当装载了servlet（响应请求的服务程序），执行“@ServletSecurity”注解时产生的错误导致的，远程攻击者可利用此漏洞在第一次装载servlet时，绕过SecurityConstraints安全限制，并获取敏感信息。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://tomcat.apache.org/security-7.HTML#Fixed_in_Apache_Tomcat_7.0.14_(released_12_May_2011)

参考网址

来源: XF

名称: tomcat-annotations-security-bypass(67515)

链接:http://xforce.iss.net/xforce/xfdb/67515

来源: VUPEN

名称: ADV-2011-1255

链接:http://www.vupen.com/english/advisories/2011/1255

来源: BID

名称: 47886

链接:http://www.securityfocus.com/bid/47886

来源: BUGTRAQ

名称: 20110517 [SECURITY] CVE-2011-1582 Apache Tomcat security constraint bypass

链接:http://www.securityfocus.com/archive/1/archive/1/518032/100/0/threaded

来源: tomcat.apache.org

链接:http://tomcat.apache.org/security-7.HTML#Fixed_in_Apache_Tomcat_7.0.14_%28released_12_May_2011%29

来源: svn.apache.org

链接:http://svn.apache.org/viewvc?view=revision&revision=1100832

来源: MLIST

名称: [www-announce] 20110517 [SECURITY] CVE-2011-1582 Apache Tomcat security constraint bypass

链接:http://mail-archives.apache.org/mod_mbox/www-announce/201105.mbox/%[email protected]%3E

来源：SECUNIA

名称：44612

链接：http://secunia.com/advisories/44612

受影响实体

• Apache Tomcat:7.0.13  
• Apache Tomcat:7.0.12  

补丁

暂无