pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#1 Apache Tomcat 处理Cookie时会话ID泄漏
来源
secunia.com
软件名
Apache Tomcat 6.x
Apache Tomcat 5.x
Apache Tomcat 4.x
Apache Tomcat 3.x
描述
这可被恶意用来泄漏敏感信息。在cookie值中输入包含单个的引用或连续的\"字符在不确定的方法中不能正确的处理,会导致泄漏包含会话ID在内的敏感信息
版本3.3 to 3.3.2, 4.1.0 到4.1.36, 5.0.0 to 5.0.30, 5.5.0到5.5.24,和6.0.0 到6.0.13中已经报告
解决方案
升级到V6.0.14
在WEB代理中过滤恶意字符和连续字符
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|