Apache Tomcat 再次爆出安全漏洞

漏洞：CVE-2011-3190  Apache Tomcat 繞過驗證和信息泄露
嚴重性：嚴重
公佈方：Apache軟件基金會
受影響的版本：

• Tomcat 7.0.0 ~ 7.0.20的全部版本
• Tomcat 6.0.0 ~ 6.0.33的全部版本
• Tomcat 5.5.0 ~ 5.5.33的全部版本
• 早期的已再也不提供支持的版本也可能受影響

    Apache Tomcat支持AJP協議，用來經過反向代理到Tomcat的請求和相關的數據，AJP協議的做用是，當一個請求包含請求主體時，一個未經容許的、包含請求主體首部分（或可能全部的）的AJP消息被髮送到Tomcat。在某些狀況下，Tomcat會把這個消息看成一個新的請求來處理，而不會看成請求主體。這可能致使攻擊者徹底控制AJP消息，容許攻擊者：

• 插入已驗證用戶的名字
• 插入任何客戶端的IP地址（可能繞過任何客戶端IP地址的過濾）
• 致使用戶之間的響應混亂

下面的AJP鏈接器實現不會受到影響：

• org.apache.jk.server.JkCoyoteHandler (5.5.x - default, 6.0.x - default)

下面的AJP鏈接器實現會受到影響：

• org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x - default)
• org.apache.coyote.ajp.AjpNioProtocol (7.0.x)
• org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)

此外，這個問題只適用於如下都爲真的狀況：

• POST請求被接受
• 請求主體沒有被處理
• 解決措施：
  
  
  • 升級Apache Tomcat到已經修復此問題的版本。
  • 安裝相應的補丁：
       - 7.0.x http://svn.apache.org/viewvc?rev=1162958&view=rev
       - 6.0.x http://svn.apache.org/viewvc?rev=1162959&view=rev
       - 5.5.x http://svn.apache.org/viewvc?rev=1162960&view=rev
  • 配置反向代理和Tomcat AJP鏈接器，使用requiredSecret屬性。
  • 使用org.apache.jk.server.JkCoyoteHandler AJP鏈接器(不適用於 Tomcat 7.0.x)
  VIA apache.org