VULHUB ™

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。 Tomcat JK Web Server Connector的mod_jk.so库在处理超长畸形的URL时存在漏洞，远程攻击者可能利用此漏洞控制服务器。 Apache Tomcat JK Web Server Connector的mod_jk.so库URI处理器map_uri_to_worker()是在native/common/jk_uri_worker_map.c文件中定义的。当该库在解析超过4095字节的超长URL请求时URI worker映射例程没有执行安全的内存拷贝，导致栈溢出。成功利用这个漏洞的攻击者可以导致拒绝服务或执行任意指令。 Apache Tomcat 5.5.20 Apache Tomcat 4.1.34 Apache Tomcat JK Web Server Connector 1.2.20 Apache Tomcat JK Web Server Connector 1.2.19 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.apache.org/dist/tomcat/tomcat-connectors/jk/source/jk-1.2.21/tomcat-connectors-1.2.21-src.tar.gz" target="_blank">http://www.apache.org/dist/tomcat/tomcat-connectors/jk/source/jk-1.2.21/tomcat-connectors-1.2.21-src.tar.gz</a>

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。 Tomcat JK Web Server Connector的mod_jk.so库在处理超长畸形的URL时存在漏洞，远程攻击者可能利用此漏洞控制服务器。 Apache Tomcat JK Web Server Connector的mod_jk.so库URI处理器map_uri_to_worker()是在native/common/jk_uri_worker_map.c文件中定义的。当该库在解析超过4095字节的超长URL请求时URI worker映射例程没有执行安全的内存拷贝，导致栈溢出。成功利用这个漏洞的攻击者可以导致拒绝服务或执行任意指令。 Apache Tomcat 5.5.20 Apache Tomcat 4.1.34 Apache Tomcat JK Web Server Connector 1.2.20 Apache Tomcat JK Web Server Connector 1.2.19 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href="http://www.apache.org/dist/tomcat/tomcat-connectors/jk/source/jk-1.2.21/tomcat-connectors-1.2.21-src.tar.gz" target="_blank">http://www.apache.org/dist/tomcat/tomcat-connectors/jk/source/jk-1.2.21/tomcat-connectors-1.2.21-src.tar.gz</a>