Apache Tomcat表单验证功能安全绕过漏洞

2013-06-06T00:00:00
ID SSV:60828
Type seebug
Reporter Root
Modified 2013-06-06T00:00:00

Description

CVE ID: CVE-2013-2067

Apache Tomcat是一款开放源码的JSP应用服务器程序

Apache Tomcat表单验证功能中的java/org/apache/catalina/authenticator/FormAuthenticator.java不正确处理验证需求和会话之前的关系,允许远程攻击者ilyong漏洞在完成登录表单过程中对已验证资源发送请求,可把请求注入到会话中,使用目标验证凭据执行该请求。此漏洞是会话固定攻击的一个变种 0 Apache Tomcat 6.0.21 - 6.0.36 Apache Tomcat 7.x 厂商解决方案 Apache Tomcat 7.0.33已经修复此漏洞,建议用户下载更新: http://tomcat.apache.org/