公告ID(KYSA-202208-1443)
公告ID:KYSA-202208-1443
公告摘要:tomcat6安全漏洞
等級:Important
發(fā)布日期:2022-08-23
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2011-1184
描述:Apache Tomcat 7.0.0 到7.0.11���,6.0.0到6.0.32�,5.5.0到5.5.33版本中存在多個(gè)安全漏洞����。攻擊者可利用該漏洞繞過安全限制執(zhí)行未授權(quán)的攻擊���。
·CVE-2011-2204
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器��,它主要用于開發(fā)和調(diào)試JSP程序����,適用于中小型系統(tǒng)��。Apache Tomcat 5.5.34之前的5.5.x版本����,6.0.33之前的6.x版本,以及7.0.17之前的7.x版本中存在信息泄露漏洞����。該漏洞源于使用MemoryUserDatabase的JMX在創(chuàng)建用戶時(shí)產(chǎn)生的錯(cuò)誤,本地用戶可利用該漏洞在Tomcat日志中記錄用戶密碼�����,導(dǎo)致泄露敏感信息����。
·CVE-2011-2526
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序����,適用于中小型系統(tǒng)。當(dāng)為HTTP APR或HTTP NIO連接器啟用了sendfile時(shí)�����,Apache Tomcat 5.5.34之前的5.5.x版本���,6.0.33之前的6.x版本���,7.0.19之前的7.x版本沒有驗(yàn)證某些請求屬性。本地用戶可利用不可信web應(yīng)用程序繞過預(yù)設(shè)的文件訪問限制或?qū)е戮芙^服務(wù)(無限循環(huán)或JVM崩潰)���。
·CVE-2011-3190
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器����,它主要用于開發(fā)和調(diào)試JSP程序�����,適用于中小型系統(tǒng)。Tomcat在AJP協(xié)議的實(shí)現(xiàn)上存在安全限制繞過漏洞����。此漏洞源于Apache Tomcat錯(cuò)誤處理了某些請求,可被利用注入任意AJP消息并泄露敏感信息或繞過身份驗(yàn)證機(jī)制����。成功利用需要不使用org.apache.jk.server.JkCoyoteHandler AJP連接器,接受POST請求����,不處理請求主體。遠(yuǎn)程攻擊者可利用此漏洞繞過某些安全限制��。
·CVE-2011-4858
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器�,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng)���。Apache Tomcat 5.5.35之前版本,6.0.35之前的6.x版本以及7.0.23之前的7.x版本中存在漏洞�,該漏洞源于在沒有限制觸發(fā)預(yù)測哈希沖突的情況下為形式參數(shù)計(jì)算哈希值��。遠(yuǎn)程攻擊者可以通過發(fā)送多個(gè)特制參數(shù)導(dǎo)致拒絕服務(wù)���。
·CVE-2011-5062
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器����,它主要用于開發(fā)和調(diào)試JSP程序����,適用于中小型系統(tǒng)。Apache Tomcat 5.5.34之前的5.5.x版本��,6.0.33之前的6.x版本�����,7.0.12之前的7.x版本中的HTTP摘要式身份驗(yàn)證時(shí)在實(shí)現(xiàn)上存在漏洞�����,該漏洞源于未檢測qop值�����。遠(yuǎn)程攻擊者可利用該漏洞借助特制的qop=auth的值繞過完整性保護(hù)限制��。
·CVE-2011-5063
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器�,它主要用于開發(fā)和調(diào)試JSP程序��,適用于中小型系統(tǒng)���。Apache Tomcat的HTTP摘要式身份驗(yàn)證時(shí)在實(shí)現(xiàn)上中存在漏洞,該漏洞源于未校對realm值�。遠(yuǎn)程攻擊者可利用該漏洞借助具有較弱認(rèn)證或授權(quán)要求的保護(hù)空間的可用性繞過預(yù)期的訪問限制。
·CVE-2011-5064
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器�����,它主要用于開發(fā)和調(diào)試JSP程序���,適用于中小型系統(tǒng)�����。Apache Tomcat的HTTP摘要訪問授權(quán)implementation(實(shí)施)中的DigestAuthenticator.java中存在漏洞��,該漏洞源于其將Catalina作為私鑰�����。遠(yuǎn)程攻擊者可通過對該字符串的認(rèn)知繞過加密的保護(hù)機(jī)制�����。
·CVE-2012-0022
描述:Apache Tomcat是一個(gè)流行的開放源碼的JSP應(yīng)用服務(wù)器程序����。Apache Tomcat在參數(shù)處理的實(shí)現(xiàn)上存在拒絕服務(wù)漏洞。遠(yuǎn)程攻擊者可通過特制的請求利用此漏洞消耗大量的CPU資源�����,造成拒絕服務(wù)����。
·CVE-2012-3546
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器����,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng)�����。Apache Tomcat 6.0.36之前的6.x版本以及7.0.30之前的7.x版本中的org/apache/catalina/realm/RealmBase.java中存在漏洞�。在程序使用FORM身份驗(yàn)證的條件下,通過對之前的某setUserPrincipal調(diào)用進(jìn)行利用并且在URI結(jié)尾處追加/j_security_check����,遠(yuǎn)程攻擊者利用該漏洞繞過安全強(qiáng)制檢查����。
·CVE-2012-4534
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器�,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng)��。Apache Tomcat 6.0.36之前的6.x版本和7.0.28之前的7.x版本中的org/apache/tomcat/util/net/NioEndpoint.java中存在漏洞����。在sendfile和HTTPS同時(shí)發(fā)生的情況下使用NIO連接器,并在讀響應(yīng)的過程中終止其連接�����,遠(yuǎn)程攻擊可者利用該漏洞導(dǎo)致拒絕服務(wù)(無限循環(huán))�����。
·CVE-2012-5885
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器�����,它主要用于開發(fā)和調(diào)試JSP程序�����,適用于中小型系統(tǒng)。Apache Tomcat 5.5.36之前的5.5.x版本�、6.0.36之前的6.x版本、7.0.30之前的7.x版本中的HTTP Digest Access Authentication實(shí)現(xiàn)中的replay-countermeasure功能中存在漏洞����,該漏洞源于程序追蹤cnonce(又名客戶端隨機(jī)數(shù))值而不是追蹤nonce(又名服務(wù)器端隨機(jī)數(shù))和nc(又名隨機(jī)數(shù)計(jì)數(shù))值。遠(yuǎn)程攻擊者利用該漏洞通過在網(wǎng)絡(luò)中嗅探有效的請求���,繞過預(yù)期的訪問限制����。
·CVE-2012-5886
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器���,它主要用于開發(fā)和調(diào)試JSP程序,適用于中小型系統(tǒng)�����。Apache Tomcat 5.5.36之前的5.5.x版本���、6.0.36之前的6.x版本��、7.0.30之前的7.x版本中的HTTP Digest Access Authentication實(shí)現(xiàn)中存在漏洞��,該漏洞源于在會話狀態(tài)中緩存相關(guān)身份驗(yàn)證用戶的信息���。遠(yuǎn)程攻擊者利用該漏洞通過與會話ID相關(guān)的向量繞過身份驗(yàn)證���。
·CVE-2012-5887
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序�����,適用于中小型系統(tǒng)��。Apache Tomcat 5.5.36之前的5.5.x版本��、6.0.36之前的6.x版本���、7.0.30之前的7.x版本中的HTTP Digest Access Authentication實(shí)現(xiàn)中存在漏洞�����,該漏洞源于程序在連帶執(zhí)行憑證檢查的同時(shí)未對過期的隨機(jī)數(shù)值進(jìn)行正確的檢查����。通過在網(wǎng)絡(luò)中嗅探有效的請求,遠(yuǎn)程攻擊者可利用該漏洞繞過預(yù)期的訪問限制���。
·CVE-2013-1976
描述: Tomcat是一款輕量級Web應(yīng)用服務(wù)器�����,它主要用于開發(fā)和調(diào)試JSP程序�,適用于中小型系統(tǒng)�。本地攻擊者可通過在(a)tomcat5-initd.log,(b)tomcat6-initd.log��,(c)catalina.out或(d)tomcat7-initd.log上的符號鏈接攻擊利用該漏洞更改任意文件的所有權(quán)��。
·CVE-2013-2051
描述:Tomcat是Web應(yīng)用服務(wù)器��,它主要用于開發(fā)和調(diào)試JSP程序�,適用于中小型系統(tǒng)����。Tomcat 6 DIGEST身份認(rèn)證功能中存在漏洞。遠(yuǎn)程攻擊者可利用該漏洞繞過既定的訪問限制�����。
·CVE-2013-2067
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持���。Apache Tomcat 6.0.21至6.0.36版本�,7.0.33之前的7.x版本中的表單驗(yàn)證功能中的java/org/apache/catalina/authenticator/FormAuthenticator.java中存在漏洞����,該漏洞源于程序沒有正確處理身份認(rèn)證要求和會話之間的關(guān)系。遠(yuǎn)程攻擊者可通過在完成登錄表單期間發(fā)送請求利用該漏洞注入請求到會話����。
·CVE-2013-4286
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持�。Apache Tomcat中存在輸入驗(yàn)證漏洞,該漏洞源于當(dāng)使用HTTP或AJP連接器時(shí)��,程序沒有正確處理Content-Length HTTP請求頭信息���。遠(yuǎn)程攻擊者可借助多個(gè)Content-Length頭或使用塊編碼的Content-Length頭利用該漏洞實(shí)施跨站腳本攻擊�,獲取請求中的敏感信息��。以下版本受到影響:Apache Tomcat 6.0.37及之前的版本�����,7.0.47之前的7.x版本,8.0.0-RC3之前的8.x版本��。
·CVE-2013-4322
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器�。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持。Apache Tomcat中存在輸入驗(yàn)證漏洞��。當(dāng)處理分塊傳輸編碼時(shí)�,遠(yuǎn)程攻擊者可借助大量的分塊數(shù)據(jù)或使用畸形的HTTP頭利用該漏洞造成拒絕服務(wù)。以下版本受到影響:Apache Tomcat 6.0.37及之前的版本����,7.0.47之前的7.x版本,8.0.0-RC3之前的8.x版本��。
·CVE-2013-4590
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器����。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持。Apache Tomcat中存在XML外部實(shí)體信息泄露漏洞�,該漏洞源于當(dāng)解析XML數(shù)據(jù)時(shí),程序沒有正確配置XML解析器����。攻擊者可借助特制的XML文檔(如web.xml���,context.xml����,*.tld,*.tagx�����,*.jspx)利用該漏洞獲取內(nèi)部信息�����。以下版本受到影響:Apache Tomcat 6.0.37及之前的版本����,7.0.47之前的7.x版本,8.0.0-RC3之前的8.x版本����。
·CVE-2014-0050
描述:Apache Commons FileUpload是美國阿帕奇(Apache)基金會的一個(gè)可將文件上傳到Servlet和Web應(yīng)用程序的軟件包。Apache Commons FileUpload 1.3.1及之前版本(用在Apache Tomcat和JBoss Web中)中的MultipartStream.java文件存在權(quán)限許可和訪問控制問題漏洞�。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品缺乏有效的權(quán)限許可和訪問控制措施。
·CVE-2014-0075
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器���。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持�。Apache Tomcat中的java/org/apache/coyote/http11/filters/ChunkedInputFilter.java文件中的‘parseChunkHeader’函數(shù)存在整數(shù)溢出漏洞。遠(yuǎn)程攻擊者可借助畸形的塊數(shù)據(jù)利用該漏洞造成拒絕服務(wù)(資源消耗)����。以下版本受到影響:Apache Tomcat 6.0.39及之前的版本,7.0.53之前的7.x版本����,8.0.4之前的8.x版本。
·CVE-2014-0096
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器��。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持�����。Apache Tomcat的默認(rèn)servlet中的java/org/apache/catalina/servlets/DefaultServlet.java文件存在安全漏洞�����,該漏洞源于程序沒有正確限制XSLT樣式表��。遠(yuǎn)程攻擊者可借助特制的應(yīng)用程序利用該漏洞繞過安全限制�����,讀取任意文件��。以下版本受到影響:Apache Tomcat 6.0.39及之前的版本����,7.0.53之前的7.x版本,8.0.4之前的8.x版本���。
·CVE-2014-0099
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器����。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持�。Apache Tomcat中的java/org/apache/tomcat/util/buf/Ascii.java文件存在整數(shù)溢出漏洞。遠(yuǎn)程攻擊者可借助特制的Content-Length HTTP頭利用該漏洞實(shí)施HTTP請求走私攻擊�。以下版本受到影響:Apache Tomcat 6.0.39及之前的版本,7.0.53之前的7.x版本�,8.0.4之前的8.x版本。
·CVE-2014-0119
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器���。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持���。Apache Tomcat中存在安全漏洞,該漏洞源于程序沒有正確限制類加載器訪問使用XSLT樣式表的XML解析器�����。遠(yuǎn)程攻擊者可借助特制的Web應(yīng)用程序利用該漏洞讀取任意文件,或讀取不同Web應(yīng)用程序相關(guān)的文件���。以下版本受到影響:Apache Tomcat 6.0.39及之前的版本���,7.0.54之前的7.x版本,8.0.6之前的8.x版本�����。
·CVE-2014-0227
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器��。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持��。Apache Tomcat中的java/org/apache/coyote/http11/filters/ChunkedInputFilter.java文件存在安全漏洞����,該漏洞源于程序出現(xiàn)錯(cuò)誤時(shí),沒有正確限制讀取數(shù)據(jù)�。遠(yuǎn)程攻擊者可通過發(fā)送帶有畸形編碼塊的流數(shù)據(jù)利用該漏洞實(shí)施HTTP請求走私攻擊,或造成拒絕服務(wù)(資源耗盡)���。以下版本受到影響:Apache Tomcat 6.0.42之前的6.x版本���,7.0.55之前的7.x版本���,8.0.9之前的8.x版本。
·CVE-2014-7810
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器���。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持。Apache Tomcat中存在訪問控制錯(cuò)誤漏洞��。該漏洞源于網(wǎng)絡(luò)系統(tǒng)或產(chǎn)品未正確限制來自未授權(quán)角色的資源訪問��。
·CVE-2015-5174
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器��。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持��。Apache Tomcat的RequestUtil.java文件中存在目錄遍歷漏洞����,該漏洞源于getResource、getResourceAsStream和getResourcePaths函數(shù)沒有充分過濾路徑名中的目錄遍歷字符‘..’���。遠(yuǎn)程攻擊者可利用該漏洞繞過既定的SecurityManager限制�����,列出父目錄�����。以下版本受到影響:Apache Tomcat 6.0.45之前6.x版本��,7.0.65之前7.x版本�,8.0.27之前8.x版本。
·CVE-2015-5345
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器���。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持���。Apache Tomcat的Mapper組件中存在安全漏洞,該漏洞源于程序?qū)崿F(xiàn)重定向前沒有處理安全約束和過濾器����。遠(yuǎn)程攻擊者可借助缺少‘/’字符結(jié)尾的URL利用該漏洞確定目錄的存在。以下版本受到影響:Apache Tomcat 6.0.45之前6.x版本�,7.0.67之前7.x版本,8.0.30之前8.x版本��,9.0.0.M2之前9.x版本�。
·CVE-2016-0706
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持��。Apache Tomcat中存在安全漏洞,該漏洞源于程序沒有將org.apache.catalina.manager.StatusManagerServlet放到org/apache/catalina/core/RestrictedServlets.properties列表中����。遠(yuǎn)程攻擊者可借助特制的Web應(yīng)用程序利用該漏洞繞過既定的SecurityManager限制,讀取任意HTTP請求�,發(fā)現(xiàn)會話ID。以下版本受到影響:Apache Tomcat 6.0.45之前6.x版本�����,7.0.68之前7.x版本�����,8.0.31之前8.x版本�,9.0.0.M2之前9.x版本����。
·CVE-2016-0714
描述:Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應(yīng)用服務(wù)器。該程序?qū)崿F(xiàn)了對Servlet和JavaServer Page(JSP)的支持��。Apache Tomcat的session-persistence實(shí)現(xiàn)過程中存在安全漏洞���,該漏洞源于程序沒有正確處理會話屬性��。遠(yuǎn)程攻擊者可借助將特制的對象放到會話中的Web應(yīng)用程序利用該漏洞繞過既定的SecurityManager限制���,以提升的權(quán)限執(zhí)行任意代碼�����。以下版本受到影響:Apache Tomcat 6.0.45之前6.x版本�����,7.0.68之前7.x版本���,8.0.31之前8.x版本,9.0.0.M2之前9.x版本����。
·CVE-2016-5388
描述:Apache Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序�����,適用于中小型系統(tǒng)����。Apache Tomcat 8.5.4及之前的版本中存在安全漏洞���,該漏洞源于程序沒有解決RFC 3875模式下的命名空間沖突。程序沒有正確處理來自HTTP_PROXY環(huán)境變量中不可信客戶端數(shù)據(jù)應(yīng)用程序�。遠(yuǎn)程攻擊者借助HTTP請求中特制的Proxy header消息利用該漏洞實(shí)施中間人攻擊,指引服務(wù)器發(fā)送連接到任意主機(jī)����。
2.受影響的軟件包
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
·x86_64架構(gòu):
tomcat6、tomcat6-admin-webapps��、tomcat6-docs-webapp�����、tomcat6-el-2.1-api�、tomcat6-javadoc�����、tomcat6-jsp-2.1-api����、tomcat6-lib、tomcat6-servlet-2.5-api�����、tomcat6-webapps
3.軟件包修復(fù)版本
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6 (x86_64)
tomcat6-6.0.24-105.el6_8或以上版本
tomcat6-admin-webapps-6.0.24-105.el6_8或以上版本
tomcat6-docs-webapp-6.0.24-105.el6_8或以上版本
tomcat6-el-2.1-api-6.0.24-105.el6_8或以上版本
tomcat6-javadoc-6.0.24-105.el6_8或以上版本
tomcat6-jsp-2.1-api-6.0.24-105.el6_8或以上版本
tomcat6-lib-6.0.24-105.el6_8或以上版本
tomcat6-servlet-2.5-api-6.0.24-105.el6_8或以上版本
tomcat6-webapps-6.0.24-105.el6_8或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級安裝
1.打開軟件包源配置文件,根據(jù)倉庫地址進(jìn)行修改���。
倉庫源地址:
中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
x86_64:https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級��,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級安裝
通過軟件包地址下載軟件包�����,使用軟件包升級命令根據(jù)受影響的軟件包
列表進(jìn)行升級安裝, 命令如下:
yum install Packagename
3.升級完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2011-1184:需要重啟 tomcat6 以使漏洞修復(fù)生效���。
CVE-2011-2204:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2011-2526:需要重啟 tomcat6 以使漏洞修復(fù)生效�。
CVE-2011-3190:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2011-4858:需要重啟 tomcat6 以使漏洞修復(fù)生效���。
CVE-2011-5062:需要重啟 tomcat6 以使漏洞修復(fù)生效�����。
CVE-2011-5063:需要重啟 tomcat6 以使漏洞修復(fù)生效��。
CVE-2011-5064:需要重啟 tomcat6 以使漏洞修復(fù)生效��。
CVE-2012-0022:需要重啟 tomcat6 以使漏洞修復(fù)生效����。
CVE-2012-3546:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2012-4534:需要重啟 tomcat6 以使漏洞修復(fù)生效�。
CVE-2012-5885:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2012-5886:需要重啟 tomcat6 以使漏洞修復(fù)生效��。
CVE-2012-5887:需要重啟 tomcat6 以使漏洞修復(fù)生效����。
CVE-2013-1976:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2013-2051:需要重啟 tomcat6 以使漏洞修復(fù)生效����。
CVE-2013-2067:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2013-4286:需要重啟 tomcat6 以使漏洞修復(fù)生效�����。
CVE-2013-4322:需要重啟 tomcat6 以使漏洞修復(fù)生效��。
CVE-2013-4590:需要重啟 tomcat6 以使漏洞修復(fù)生效�。
CVE-2014-0050:需要重啟 tomcat6 以使漏洞修復(fù)生效��。
CVE-2014-0075:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2014-0096:需要重啟 tomcat6 以使漏洞修復(fù)生效����。
CVE-2014-0099:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2014-0119:需要重啟 tomcat6 以使漏洞修復(fù)生效���。
CVE-2014-0227:需要重啟 tomcat6 以使漏洞修復(fù)生效��。
CVE-2014-7810:需要重啟 tomcat6 以使漏洞修復(fù)生效���。
CVE-2015-5174:需要重啟 tomcat6 以使漏洞修復(fù)生效。
CVE-2015-5345:需要重啟 tomcat6 以使漏洞修復(fù)生效�����。
CVE-2016-0706:需要重啟 tomcat6 以使漏洞修復(fù)生效�����。
CVE-2016-0714:需要重啟 tomcat6 以使漏洞修復(fù)生效���。
CVE-2016-5388:需要重啟 tomcat6 以使漏洞修復(fù)生效��。
5.軟件包下載地址
·中標(biāo)麒麟高級服務(wù)器操作系統(tǒng) V6
tomcat6(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-6.0.24-105.el6_8.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-admin-webapps-6.0.24-105.el6_8.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-docs-webapp-6.0.24-105.el6_8.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-el-2.1-api-6.0.24-105.el6_8.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-javadoc-6.0.24-105.el6_8.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-jsp-2.1-api-6.0.24-105.el6_8.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-lib-6.0.24-105.el6_8.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-servlet-2.5-api-6.0.24-105.el6_8.noarch.rpm
https://update.cs2c.com.cn/NS/V6/V6.9/os/lic/base/x86_64/Packages/tomcat6-webapps-6.0.24-105.el6_8.noarch.rpm
注:其他相關(guān)依賴包請到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令��,查看相關(guān)軟件包版本是否與修復(fù)版本一致�,如果版本一致,則說明修復(fù)成功�����。
sudo rpm -qa | grep Packagename
安全漏洞補(bǔ)丁公告
