VULHUB ™

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。 Apache Tomcat在处理畸形编码的文件请求时存在漏洞，远程攻击者可能利用此漏洞绕过访问限制。 Apache Tomcat用于连接tomcat和apache之间的连接器JK Web Server Connector没有正确处理URL中双重编码的“..”字串。如果多个组件（防火墙、缓存、代理和Tomcat）处理一个请求的话，这些组件不应迭代的多次解码请求URL，否则就可能绕过最后一个组件之前所实施的访问控制规则。 默认下mod_jk解码Apache httpd中的请求URL并将其转发给Tomcat，而Tomcat本身又执行的第二次解码。这就允许为/someapp传送JkMount前缀，而实际在Tomcat上访问/otherapp。 Apache Tomcat JK Web Server Connector 1.2.0 - 1.2.22 临时解决方法： * 设置JkOption ForwardURICompatUnparsed转发选项。 厂商补丁： Apache ------ 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://jakarta.apache.org/tomcat/index.html" target="_blank">http://jakarta.apache.org/tomcat/index.html</a>

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。 Apache Tomcat在处理畸形编码的文件请求时存在漏洞，远程攻击者可能利用此漏洞绕过访问限制。 Apache Tomcat用于连接tomcat和apache之间的连接器JK Web Server Connector没有正确处理URL中双重编码的“..”字串。如果多个组件（防火墙、缓存、代理和Tomcat）处理一个请求的话，这些组件不应迭代的多次解码请求URL，否则就可能绕过最后一个组件之前所实施的访问控制规则。 默认下mod_jk解码Apache httpd中的请求URL并将其转发给Tomcat，而Tomcat本身又执行的第二次解码。这就允许为/someapp传送JkMount前缀，而实际在Tomcat上访问/otherapp。 Apache Tomcat JK Web Server Connector 1.2.0 - 1.2.22 临时解决方法： * 设置JkOption ForwardURICompatUnparsed转发选项。 厂商补丁： Apache ------ 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://jakarta.apache.org/tomcat/index.html" target="_blank">http://jakarta.apache.org/tomcat/index.html</a>