微点交流论坛

标题: Apache Tomcat 处理Cookie时会话ID泄漏 [打印本页]

作者: pioneer 时间: 2007-8-16 15:39 标题: Apache Tomcat 处理Cookie时会话ID泄漏

来源

secunia.com

软件名

Apache Tomcat 6.x

Apache Tomcat 5.x

Apache Tomcat 4.x

Apache Tomcat 3.x

描述

这可被恶意用来泄漏敏感信息。在cookie值中输入包含单个的引用或连续的\"字符在不确定的方法中不能正确的处理，会导致泄漏包含会话ID在内的敏感信息
版本3.3 to 3.3.2, 4.1.0 到4.1.36, 5.0.0 to 5.0.30, 5.5.0到5.5.24,和6.0.0 到6.0.13中已经报告

解决方案

升级到V6.0.14
在WEB代理中过滤恶意字符和连续字符

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn