内容

安全更新

请注意,除非在极少数情况下,不会针对单个漏洞生成二进制补丁。要获取特定漏洞的二进制修复程序,您应该升级到已修复该漏洞的 Apache Tomcat 版本。

源补丁通常以提交引用的形式提供,可以在漏洞公告和/或这些页面上列出的漏洞详细信息中提供。希望仅使用该安全补丁而不是升级来构建自己的 Tomcat 本地版本的用户可以使用这些源补丁。请注意,目前正在进行一项活动,为这些页面上列出的所有漏洞添加指向提交的链接。

Apache Tomcat 已发布版本中修复的安全问题列表如下:

还可以从存档中下载 Apache Tomcat 版本中修复的安全问题列表:

报告 Tomcat 的新安全问题

ASF 在消除针对 Tomcat 的安全问题和拒绝服务攻击方面采取了非常积极的立场。

我们强烈鼓励人们首先向我们的私人安全邮件列表报告此类问题,然后再在公共论坛上披露这些问题。

需要满足以下任何条件的问题报告将被视为超出范围,并且 Tomcat 安全团队不会接受。该列表并不详尽。

  • 访问 Tomcat 的配置文件。
  • 部署易受攻击的 Web 应用程序。
  • 部署恶意 Web 应用程序,除非 SecurityManager 配置了适当的安全策略,并且 Web 应用程序能够绕过 SecurityManager 强制执行的限制。

请注意,安全邮件列表只能用于报告 Tomcat 中未公开的安全漏洞以及管理修复此类漏洞的过程。我们无法在此地址接受定期错误报告或其他查询。发送到此地址的所有与 Tomcat 源代码中未公开的安全问题无关的邮件都将被忽略。

如果您需要报告非未公开安全漏洞的错误,请使用错误报告页面

有关以下问题:

  • 如何安全地配置 Tomcat
  • 如果漏洞适用于您的特定应用程序
  • 获取有关已发布漏洞的更多信息
  • 补丁和/或新版本的可用性

应发送至用户邮件列表。有关如何订阅的详细信息,请参阅 邮件列表页面。

私人安全邮件地址是: security@tomcat.apache.org

请注意,所有联网服务器都会受到拒绝服务攻击,并且我们不能承诺针对一般问题(例如客户端将大量数据流式传输到您的服务器,或重复重新请求相同的 URL)的神奇解决方法。一般来说,我们的理念是避免任何可能导致服务器消耗与输入大小呈非线性关系的资源的攻击。

错误和遗漏

请将任何错误或遗漏报告给 security@tomcat.apache.org