漏洞关键信息 漏洞名称: Apache Tomcat 7.0.11 信息泄露 日期: 2011-04-11 / 2011-04-12 Credited: Mark Thomas 风险等级: 中等 风险评估: CVE-2011-1475, CWE-20 CVSS Base Score: 5/10 影响子分: 2.9/10 利用子分: 10/10 影响范围: - 机密性影响: 部分 - 完整性影响: 无 - 可用性影响: 无 严重性: 重要 供应商: The Apache Software Foundation 受影响版本: - Tomcat 7.0.0 到 7.0.11 - 更早的版本不受影响 描述: 对 HTTP BIO 连接器的更改以支持 Servlet 3.0 异步请求时没有完全考虑到 HTTP 管线化。结果是当使用 HTTP 管线化时,发生了一系列意外行为,包括不同请求之间的响应混淆。虽然在同一个用户请求之间观察到的混淆,不同用户请求之间的响应混淆也是可能的。 缓解措施: 受影响版本的用户应使用以下缓解措施之一: - 升级到 Tomcat 7.0.12 或更高版本 - 切换到 NIO 或 APR/native HTTP 连接器,这些连接器不会出现此问题 信用: 此问题由 Brad Fish 通过公共 ASF Bugzilla 问题跟踪系统识别并报告。 参考文献: - http://tomcat.apache.org/security.html - http://tomcat.apache.org/security-7.html