内容
目录
Apache Tomcat APR/native 连接器漏洞
此页面列出了 Apache Tomcat APR/native 连接器已发布版本中修复的所有安全漏洞。每个漏洞都由 Apache Tomcat® 安全团队给予了安全影响评级——请注意,此评级可能因平台而异。我们还列出了已知受该缺陷影响的 Apache Tomcat APR/native 连接器版本,对于尚未验证的缺陷,则用问号标记版本。
注意:并非 Tomcat 漏洞,但被错误地报告给 Tomcat 的漏洞,或者 Tomcat 提供了变通方案的漏洞,将在本页末尾列出。
此页面是根据对 Apache Tomcat 归档文件和 CVE 列表的审查创建的。请将有关这些漏洞的评论或更正发送给Tomcat 安全团队。
在 Apache Tomcat Native Connector 1.2.17 中修复
中等:OCSP 无效响应处理不当 CVE-2018-8019
当使用 OCSP 响应器时,Tomcat Native 未正确处理无效响应。这导致被吊销的客户端证书被错误识别。因此,在使用相互 TLS 时,用户可能能够使用被吊销的证书进行身份验证。
这已在修订版本 1832832 中修复。
影响版本:1.2.0 至 1.2.16 以及 1.1.23 至 1.1.34
重要:OCSP 响应处理不当可能允许客户端使用已吊销的证书进行身份验证 CVE-2018-8020
Apache Tomcat Native 存在一个缺陷,未能正确检查 OCSP 预生成响应,这些响应是证书状态列表(多个条目)。因此,已吊销的客户端证书可能无法被正确识别,允许用户使用已吊销的证书对需要相互 TLS 的连接进行身份验证。
这已在修订版本 1832863 中修复。
影响版本:1.2.0 至 1.2.16 以及 1.1.23 至 1.1.34
在 Apache Tomcat Native Connector 1.2.16 中修复
注意:下面的问题已在 Apache Tomcat Native Connector 1.2.15 中修复,但 1.2.15 候选版本的发布投票未通过。因此,尽管用户必须下载 1.2.16 才能获得包含此问题修复的版本,但 1.2.15 版本未包含在受影响的版本列表中。
中等:OCSP 检查遗漏 CVE-2017-15698
当解析客户端证书的 AIA-Extension 字段时,Apache Tomcat Native 连接器未正确处理长度超过 127 字节的字段。解析错误导致跳过 OCSP 检查。因此,本应被拒绝(如果进行了 OCSP 检查)的客户端证书可能被接受。不使用 OCSP 检查的用户不受此漏洞影响。
这已在修订版本 1815200 和 1815218 中修复。
此问题由 Jonas Klempel 于 2017 年 11 月 6 日报告给 Apache Tomcat 安全团队,并于 2018 年 1 月 31 日公开。
影响版本:1.2.0 至 1.2.14 以及 1.1.23 至 1.1.34
并非 Apache Tomcat APR/native 连接器中的漏洞
TLS SSL 中间人 CVE-2009-3555
TLS 协议中存在一个漏洞,允许攻击者在重新协商期间向 TLS 流中注入任意请求。
Tomcat 使用的 TLS 实现因连接器而异。APR/native 连接器使用 OpenSSL。
如果使用的 OpenSSL 版本存在漏洞,则 APR/native 连接器也存在漏洞。注意:使用 OpenSSL 0.9.8l 构建将禁用所有重新协商并防止此漏洞。
从 1.1.18 版本开始,客户端发起的重新协商将被拒绝,以便为任何 OpenSSL 版本提供针对此漏洞的部分保护。
用户应注意,禁用重新协商的影响将因应用程序和客户端而异。在某些情况下,禁用重新协商可能导致某些客户端无法访问应用程序。
重要:远程内存读取 CVE-2014-0160 (又称“心血漏洞”)
OpenSSL 的某些版本中存在一个错误,可能允许未经身份验证的远程用户读取服务器内存的某些内容。tcnative 1.1.24 - 1.1.29 的二进制版本包含此易受攻击的 OpenSSL 版本。tcnative 1.1.30 及更高版本随附已修补的 OpenSSL 版本。
此问题于 2014 年 4 月 7 日首次公布。
影响版本:OpenSSL 1.0.1-1.0.1f, tcnative 1.1.24-1.1.29