发布日期：2011-08-12
更新日期：2011-08-12

受影响系统：

Apache Group Tomcat 7.x
Apache Group Tomcat 6.x
Apache Group Tomcat 5.x

不受影响系统：

Apache Group Tomcat 7.0.20
Apache Group Tomcat 6.0.33
Apache Group Tomcat 5.5.34

描述：

---

BUGTRAQ  ID: 49143
CVE(CAN) ID: CVE-2011-2729

Apache Commons Daemon可以实现普通的Java 应用编程系统的后台服务。

Apache Commons Daemon在实现上存在影响jsvc库的远程信息泄露漏洞，远程攻击者可利用此漏洞通过使用受影响库的应用程序获取超级用户的文件和目录的访问权限，获取敏感信息。

此漏洞源于功能码中的Bug，在满足下列条件时可应用此漏洞：
1）Tomcat运行在Linux操作系统上；
2）jsvc是用libcap编译的；
3）使用了-user参数。

<*来源：Wilfried Weissmann
  
  链接：3C4E45221D.1020306@apache.org%3E" target="_blank">http://mail-archives.apache.org/mod_mbox/tomcat-announce/201108.mbox/%3C4E45221D.1020306@apache.org%3E
        http://commons.apache.org/daemon/
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://jakarta.apache.org/tomcat/index.html

浏览次数：2394
严重程度：0（网友投票）