发布日期：2007-05-24
更新日期：2007-05-25

受影响系统：

Apache Tomcat JK Web Server Connector 1.2.0 - 1.2.22

不受影响系统：

Apache Tomcat JK Web Server Connector 1.2.23

描述：

---

BUGTRAQ  ID: 24147
CVE(CAN) ID: CVE-2007-1860

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

Apache Tomcat在处理畸形编码的文件请求时存在漏洞，远程攻击者可能利用此漏洞绕过访问限制。

Apache Tomcat用于连接tomcat和apache之间的连接器JK Web Server Connector没有正确处理URL中双重编码的“..”字串。如果多个组件（防火墙、缓存、代理和Tomcat）处理一个请求的话，这些组件不应迭代的多次解码请求URL，否则就可能绕过最后一个组件之前所实施的访问控制规则。

默认下mod_jk解码Apache httpd中的请求URL并将其转发给Tomcat，而Tomcat本身又执行的第二次解码。这就允许为/someapp传送JkMount前缀，而实际在Tomcat上访问/otherapp。

<*来源：Kazu Nambo
  
  链接：http://secunia.com/advisories/25383/
        http://tomcat.apache.org/security-jk.html
*>

建议：

---

临时解决方法：

* 设置JkOption ForwardURICompatUnparsed转发选项。

厂商补丁：

Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://jakarta.apache.org/tomcat/index.html

浏览次数：3426
严重程度：0（网友投票）