您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 漏洞公告

Apache Tomcat伺服器8.5.4(含)前的版本存在漏洞(CVE-2016-5388),允許攻擊者遠端執行中間人攻擊,請儘速確認並進行修正

內容說明:

Apache Tomcat是Apache軟體基金會旗下的一款輕量級Web伺服器,8.5.4(含)前的版本如啟用CGI Servlet執行CGI腳本(預設是關閉),其HTTP_PROXY環境變數未能有效過濾客戶端請求,造成HTTP_PROXY的變數內容,可被攻擊者發送的變數內容給覆蓋掉,造成攻擊者可利用此漏洞遠端執行中間人攻擊,以及將目標的HTTP流量重新導向至任意的伺服器。請檢視是否安裝受影響之Apache Tomcat伺服器,如啟用CGI Servlet執行CGI腳本,請儘速參考官方網頁所提供的臨時性解決方案進行修正。

影響平台:

Apache Tomcat伺服器8.5.4(含)前的版本

建議措施:

  1. 請於已安裝Apache Tomcat伺服器之電腦,依據不同平台使用「version.bat」或「version.sh」指令確認目前所使用之Apache Tomcat版本是否為8.5.4(含)前的版本。
  2. 請於已安裝Apache Tomcat伺服器8.5.4(含)前版本之電腦,檢視conf/web.xml設定檔,確認Servlet與Servlet-mapping區段是否為「註解」的狀態,若已「取消註解」,則表示已啟用CGI Servlet機制。
  3. 若已啟用CGI Servlet機制,且仍有使用之需求,目前可透過官方所發布之臨時性解決方案進行修正,例如重新編譯tomcat/lib目錄內的catalina.jar檔,或是自行編譯一個拒絕PROXY Header請求的jar檔等方法,詳細內容可參考官方網頁資訊(https://www.apache.org/security/asf-httpoxy-response.txt)。現階段因官方尚未正式釋出修正後的版本,所以仍請密切注意Apache Tomcat官方網頁(http://tomcat.apache.org/)之更新訊息。

 參考資料:

https://httpoxy.org

https://www.apache.org/security/

https://ci.apache.org/projects/tomcat/tomcat85/docs/apr.html

Publish Date
2016/7/21 0:00:00