Apache Tomcat是一个流行的开放源码的JSP/Servlet应用服务器。最近刚刚发布了Tomcat 6.0的稳定版本.

而最近出现的一个溢出漏洞, 不过官方很快便推出了防范补丁.

Tomcat JK Web Server Connector的mod_jk.so库在处理超长畸形的URL时存在漏洞,远程攻击者可能利用此漏洞控制服务器。

Apache Tomcat JK Web Server Connector的mod_jk.so库URI处理器map_uri_to_worker()是在native/common/jk_uri_worker_map.c文件中定义的。当该库在解析超过4095字节的超长URL请求时URI worker映射例程没有执行安全的内存拷贝,导致栈溢出。成功利用这个漏洞的攻击者可以导致拒绝服务或执行任意指令。

受影响系统:
Apache Tomcat 5.5.20
Apache Tomcat 4.1.34
Apache Tomcat JK Web Server Connector 1.2.20
Apache Tomcat JK Web Server Connector 1.2.19

不受影响系统:
Apache Tomcat JK Web Server Connector 1.2.21

官方下载补丁:
目前官方已经发布了升级补丁以修复这个安全问题,请到以下链接下载:
http://www.apache.org/dist/tomcat/tomcat-connectors/jk/source/jk-1.2.21/tomcat-connectors-1.2.21-src.tar.gz