Content

Security Updates

请注意,除非在极少数情况下,否则不会针对单个漏洞生成二进制补丁. 要获取针对特定漏洞的二进制修补程序,您应该升级到已修复该漏洞的Apache Tomcat版本.

通常以提交引用的形式提供源补丁,可以在漏洞公告和/或这些页面上列出的漏洞详细信息中提供. 希望仅通过该安全补丁程序而不是升级来构建自己的本地Tomcat版本的用户可以使用这些源补丁程序. 请注意,当前正在进行练习,以添加指向这些页面上列出的所有漏洞的提交的链接.

提供了已发布的Apache Tomcat版本中修复的安全问题列表:

还提供了可以从归档文件中下载的Apache Tomcat版本中修复的安全问题列表:

Reporting New Security Problems with Apache Tomcat

Apache Software Foundation在消除针对Apache Tomcat的安全性问题和拒绝服务攻击方面采取了非常积极的态度.

我们强烈建议人们在公共论坛上公开这些问题之前,先将这些问题报告给我们的私人安全邮件列表.

请注意,安全邮件列表仅应用于报告Apache Tomcat中未公开的安全漏洞,并管理修复此类漏洞的过程. 我们无法在此地址接受常规的错误报告或其他查询. 发送到该地址的所有与Apache Tomcat源代码中未公开的安全问题无关的邮件都将被忽略.

如果您需要报告不是未公开的安全漏洞的错误 ,请使用错误报告页面 .

有关以下问题:

  • 如何安全地配置Tomcat
  • 如果漏洞适用于您的特定应用程序
  • 获取有关已发布漏洞的更多信息
  • 修补程序和/或新版本的可用性

应该发送到用户邮件列表. 请参阅邮件列表页面以了解如何订阅的详细信息.

私人安全邮件地址为: security@tomcat.apache.org

请注意,所有联网的服务器都受到拒绝服务攻击的影响,我们不能承诺针对一般问题(例如,客户端向您的服务器流式传输大量数据,或反复重新请求相同的URL)的魔术解决方法. 通常,我们的理念是避免任何可能导致服务器以与输入大小成非线性关系的方式消耗资源的攻击.

Errors and omissions

请向security@tomcat.apache.org报告任何错误或遗漏.

by  ICOPY.SITE