发布日期：2010-01-25
更新日期：2010-01-26

受影响系统：

Apache Group Tomcat 6.0.x
Apache Group Tomcat 5.5.x

不受影响系统：

Apache Group Tomcat 6.0.20
Apache Group Tomcat 5.5.28

描述：

---

BUGTRAQ  ID: 37942
CVE(CAN) ID: CVE-2009-2901

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

默认下Tomcat会自动部署主机appBase中的任何目录，这种行为是受主机的autoDeploy属性（默认为true）控制的。如果卸载部署失败，自动部署过程仍会部署剩余的文件，导致正常情况下受一个或多个安全限制保护的文件也被继续部署，这样用户就可无需认证便访问这些文件。

<*来源：Mark Thomas
  
  链接：http://secunia.com/advisories/38316/
        http://marc.info/?l=full-disclosure&m=126437122116004&w=2
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://svn.apache.org/viewvc?rev=892815&view=rev
http://svn.apache.org/viewvc?rev=902650&view=rev

浏览次数：4624
严重程度：0（网友投票）