请注意,除非在极少数情况下,我们不会为单个漏洞提供二进制补丁。要获取特定漏洞的二进制修复,您应该升级到已修复该漏洞的 Apache Tomcat® 版本。
源代码补丁,通常以提交引用(commit reference)的形式,可能会在漏洞公告和/或这些页面上列出的漏洞详情中提供。希望仅通过该安全补丁而非升级来构建自己的本地 Tomcat 版本的用户可以使用这些源代码补丁。
可查看 Apache Tomcat 当前支持版本中已修复的安全问题列表
已达到生命周期结束(EOL)且可从归档中下载的 Apache Tomcat 版本中已修复的安全问题列表也可用。
ASF 在消除针对 Tomcat 的安全问题和拒绝服务攻击方面采取非常积极的立场。
我们强烈鼓励大家在公共论坛中披露此类问题之前,首先向我们的私有安全邮件列表报告。
请注意,安全邮件列表应仅用于报告 Tomcat 中未公开的安全漏洞以及管理修复此类漏洞的过程。我们无法接受常规的 Bug 报告、提供免费咨询或回答此地址的其他疑问。所有发送到此地址但与 Tomcat 源代码中未公开的安全问题无关的邮件都将被忽略。 私有安全邮件地址是: security@tomcat.apache.org
Tomcat 的安全模型描述了 Tomcat 安全团队将接受和不接受哪些内容作为有效的 Tomcat 漏洞报告。
请注意,所有网络服务器都可能遭受拒绝服务攻击,我们无法承诺对通用问题提供神奇的解决方案(例如客户端向您的服务器传输大量数据,或重复请求相同的 URL)。总的来说,我们的理念是避免任何可能导致服务器以与输入大小不成线性关系的方式消耗资源的攻击。
关于以下内容的问题:
- 如何安全地配置 Tomcat
- 某个漏洞是否适用于您的特定应用程序
- 获取已发布漏洞的更多信息
- 补丁和/或新版本的可用性
应向用户邮件列表提出。请参阅邮件列表页面了解如何订阅的详细信息。
如果您需要报告的 Bug 不是未公开的安全漏洞,请使用Bug 报告页面。
如果您对已报告漏洞的处理方式感兴趣,该过程已在 ASF 范围的页面[1]和[2]中进行了文档化。
