BUGTRAQ ID: 65767
CVE(CAN) ID: CVE-2013-4322
Apache Tomcat是一个流行的开源JSP应用服务器程序。
Tomcat 8.0.0-RC1-8.0.0-RC5、Tomcat 7.0.0-7.0.47、Tomcat 6.0.0-6.0.37在实现上存在拒绝服务漏洞,攻击者可利用此漏洞造成拒绝服务。该漏洞源于CVE-2012-3544的不完整修复。所有使用Oracle Java 7 (1.7, 1.7.0)的系统都受到影响。Oracle Java 7 Update 11之前版本存在多个漏洞,远程攻击者通过JmxMBeanServer类内的公开方法getMBeanInstantiator可获取私有对象MBeanInstantiator的引用,然后用findClass方法检索任意Class引用,从而利用此漏洞执行任意代码,或者用反射式API绕过java.lang.invoke.MethodHandles.Lookup.checkSecurityManager方法的安全检查,因sun.reflect.Reflection.getCallerClass方法无法跳过新反射式API相关的帧,即可利用此漏洞执行任意代码。
0
Apache Group Tomcat 7.x
Apache Group Tomcat 6.x
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://jakarta.apache.org/tomcat/index.html
京公网安备 11010502034610号
暂无评论