关于Apache Tomcat请求陷入死循环猜想-h136919934-ChinaUnix博客

h136919934的ChinaUnix博客

首页　| 　博文目录　| 　关于我

h136919934

博客访问： 173952
博文数量： 168
博客积分： 0
博客等级：民兵
技术积分： 10
用户组：普通用户
注册时间： 2016-01-18 19:34

文章分类

全部博文（168）

wiki知识（2）
互联网（139）

web服务器（38）

cache存储（9）

数据库（26）

PH/JS/SHELL（18）

搜索引擎技术（0）

系统架构、硬件（4）

其他unix（32）

unix（11）
software SH（2）
web（2）
安全监测（7）
shell（2）
unix/linux（3）
Mysql（6）
系统架构（5）
未分配的博文（0）

文章存档

2016年（168）

我的朋友

相关博文

关于Apache Tomcat请求陷入死循环猜想

分类：系统运维

2016-01-18 19:55:08

原文地址：关于Apache Tomcat请求陷入死循环猜想作者：鸟哥のlinux

Tomcat 7 已经发布很久了，也曾试用过，工作正常，配置也简单。新版本改进了很多，但为了不影响以前业务的正常运行，还是习惯使用Tomcat 6

Tomcat 6.X 和 JDK 6.0X版本的结合，一直工作的很好，最近有朋友在测试Tomcat 7 和JDK 6u17版本的时候，会导致运行崩溃，工作不正常。

查看日志，显示内存泄漏严重，陷入死循环，我的猜想是：

1、Tomcat 7要求的JDK版本要 JDK 7.0X以上吧，在测试Tomcat 7时，我采用的是 JDK的高版本，这样工作就正常。
2、程序写法不正常，导致请求异常。

另外，我查找了相关资料，Tomcat 7.0.0 ~ 7.0.27 Tomcat 6.0.0 ~ 6.0.35 存在安全漏洞，以下是相关说明，如果有使用到一下版本的友友，可以尝试更新下Tomcat版本。

原文：

Apache 基金会成员 Mark Thomas 今天在邮件列表中公布了 Tomcat 中新发现的 3 个安全漏洞。
　　1.

　　等级：严重

　　受影响版本：

Tomcat 7.0.0 ~ 7.0.27

Tomcat 6.0.0 ~ 6.0.35

　　描述：

　　当使用 NIO 连接器，并启用了 sendfile 和 HTTPS 时，如果客户端断开连接，可能会陷入一个无限循环，导致拒绝服务。

　　解决方法：

Tomcat 7.0.x 用户升级至 7.0.28 或更新版本

Tomcat 6.0.x 用户升级至 6.0.36 或更新版本

　　2.

　　等级：严重

　　受影响版本：

Tomcat 7.0.0 ~ 7.0.29

Tomcat 6.0.0 ~ 6.0.35

早期版本也可能受影响

　　描述：

　　当使用 FORM 身份验证时，如果一些组件在调用 FormAuthenticator#authenticate ()之前调用 request.setUserPrincipal ()，则可以在 FORM 验证器中通过在 URL 尾部附加上“/j_security_check”来绕过安全约束检查。

　　解决方法：

Tomcat 7.0.x 用户升级至 7.0.30 或更新版本

Tomcat 6.0.x 用户升级至 6.0.36 或更新版本

　　3.

　　等级：严重

　　受影响版本：

Tomcat 7.0.0 ~ 7.0.31

Tomcat 6.0.0 ~ 6.0.35

　　描述：

　　如果请求一个受保护的资源，而在请求中没有会话 ID，则可以绕过预防 CSRF 过滤器。

　　解决方法：

Tomcat 7.0.x 用户升级至 7.0.32 或更新版本

Tomcat 6.0.x 用户升级至 6.0.36 或更新版本

阅读(565) | 评论(0) | 转发(0) |

上一篇：Apache启用GZIP压缩网页传输方法

下一篇：LNMP-Linux下Nginx+MySQL+PHP+phpMyAdmin+eAcelerator

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6