Apache Tomcat^®

Apache Tomcat^® 安全团队对影响 Tomcat 的每个安全缺陷进行影响评级。我们选择了一个与其他主要供应商使用的评级系统非常相似的评级尺度，以保持一致性。基本上，评级系统的目标是回答“我应该对这个漏洞有多担心？”这个问题。

请注意，为每个缺陷选择的评级是所有架构中最坏情况。要确定特定漏洞对您自己系统的确切影响，您仍然需要阅读安全公告以了解更多有关该缺陷的信息。

我们使用以下描述来决定对每个漏洞的影响评级

被评为“严重”影响的漏洞是指远程攻击者可能利用它使 Tomcat 执行任意代码（以服务器运行的用户身份或 root 身份）。这些是可能被蠕虫自动利用的漏洞。

被评为“重要”（或“高”）影响的漏洞是指可能导致数据泄露或服务器不可用的问题。对于 Tomcat 而言，这包括允许轻易远程拒绝服务（与攻击不成比例或具有持久后果的）、访问上下文根之外的任意文件或访问应被限制或身份验证阻止的文件。

如果存在显著的缓解措施使问题影响减小，则漏洞很可能被评为“中等”。这可能是因为该缺陷不影响常见的配置，或者它是一种不广泛使用的配置，或者远程用户必须经过身份验证才能利用该问题。允许 Tomcat 提供目录列表而非索引文件以及跨站脚本问题均包含在此类中。

所有其他安全缺陷均归类为“低”影响。此评级用于那些被认为极难利用或利用后后果极小的问题。