发布日期：2011-06-27
更新日期：2011-06-27

受影响系统：

Apache Group Tomcat 7.x
Apache Group Tomcat 6.x
Apache Group Tomcat 5.x

不受影响系统：

Apache Group Tomcat 7.0.17
Apache Group Tomcat 6.0.33
Apache Group Tomcat 5.5.34

描述：

---

BUGTRAQ  ID: 48456
CVE(CAN) ID: CVE-2011-2204

Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器，按照Sun Microsystems提供的技术规范，实现了对Servlet和JavaServer Page（JSP）的支持，并提供了作为Web服务器的一些特有功能。

Apache Tomcat在MemoryUserDatabase的实现上存在信息泄露漏洞，远程攻击者可利用此漏洞获取敏感信息。

此漏洞源于在通过使用MemoryUserDatabase的JMX创建用户时存在的错误。如果出现意外，可导致用创建的用户密码登陆Tomcat。

<*来源：Polina Genova
  *>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://jakarta.apache.org/tomcat/index.html

浏览次数：3210
严重程度：0（网友投票）