Apache Tomcat JULI 日志组件有默认安全策略漏洞
来源:岁月联盟
时间:2007-12-27
Apache Group Tomcat 6.0.0 - 6.0.15
Apache Group Tomcat 5.5.9 - 5.5.25
描述:
BUGTRAQ ID: 27006
CVE(CAN) ID: CVE-2007-5342
Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。
Apache Tomcat的JULI日志组件允许Web应用提供自己的日志配置,默认的安全策略没有限制这种配置,允许不可信任的Web应用添加文件,或覆盖Tomcat进程拥有权限的已有文件。
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc/tomcat/trunk/conf/catalina.policy?r1=606594&r2=606593&pathrev=606594&view=patch