Apache Tomcat 再次爆出安全漏洞

漏洞：CVE-2011-3190  Apache Tomcat 绕过验证和信息泄露
严重性：严重
公布方：Apache软件基金会
受影响的版本：

• Tomcat 7.0.0 ~ 7.0.20的全部版本
• Tomcat 6.0.0 ~ 6.0.33的全部版本
• Tomcat 5.5.0 ~ 5.5.33的全部版本
• 早期的已再也不提供支持的版本也可能受影响

    Apache Tomcat支持AJP协议，用来经过反向代理到Tomcat的请求和相关的数据，AJP协议的做用是，当一个请求包含请求主体时，一个未经容许的、包含请求主体首部分（或可能全部的）的AJP消息被发送到Tomcat。在某些状况下，Tomcat会把这个消息看成一个新的请求来处理，而不会看成请求主体。这可能致使攻击者彻底控制AJP消息，容许攻击者：

• 插入已验证用户的名字
• 插入任何客户端的IP地址（可能绕过任何客户端IP地址的过滤）
• 致使用户之间的响应混乱

下面的AJP链接器实现不会受到影响：

• org.apache.jk.server.JkCoyoteHandler (5.5.x - default, 6.0.x - default)

下面的AJP链接器实现会受到影响：

• org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x - default)
• org.apache.coyote.ajp.AjpNioProtocol (7.0.x)
• org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)

此外，这个问题只适用于如下都为真的状况：

• POST请求被接受
• 请求主体没有被处理
• 解决措施：
  
  
  • 升级Apache Tomcat到已经修复此问题的版本。
  • 安装相应的补丁：
       - 7.0.x http://svn.apache.org/viewvc?rev=1162958&view=rev
       - 6.0.x http://svn.apache.org/viewvc?rev=1162959&view=rev
       - 5.5.x http://svn.apache.org/viewvc?rev=1162960&view=rev
  • 配置反向代理和Tomcat AJP链接器，使用requiredSecret属性。
  • 使用org.apache.jk.server.JkCoyoteHandler AJP链接器(不适用于 Tomcat 7.0.x)
  VIA apache.org