一、概要

近期Apache Software Foundation發(fā)布了多個與Apache Tomcat相關(guān)的安全補丁更新公告，修復(fù)了多個安全問題。其中包含兩個官方評級為重要的漏洞（CVE-2018-1336、CVE-2018-8037），攻擊者可利用漏洞對服務(wù)器發(fā)起拒絕服務(wù)攻擊或獲取服務(wù)器敏感信息。

CVE-2018-1336：由于 UTF-8 解碼器對輸入字符處理不當(dāng)產(chǎn)生，可以造成拒絕服務(wù)攻擊；

CVE-2018-8037：由于連接跟蹤機制中的一個BUG而產(chǎn)生，可能造成用戶信息泄露。

參考鏈接：

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

二、漏洞級別

漏洞級別：【重要】

（說明：漏洞級別共四級：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

漏洞影響Apache Tomcat如下版本：

Apache Tomcat 9.0.0.M1 到 9.0.9 版本

Apache Tomcat 8.5.0 到 8.5.31 版本

Apache Tomcat 8.0.0.RC1 到 8.0.52 版本

Apache Tomcat 7.0.28 到 7.0.88 版本

四、安全建議

目前廠商已發(fā)布最新版本修復(fù)了上述問題，建議受影響的租戶隨時關(guān)注廠商的下載頁面以獲取對應(yīng)的最新版本，官方對應(yīng)最新版本下載鏈接如下：

Apache Tomcat 9.0.10：https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.32/8.0.53：https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.90：https://tomcat.apache.org/download-70.cgi

注意：修復(fù)漏洞前請將資料備份，并進行充分測試。