Apache Software Foundation 发布了新版本的 Apache Tomcat Native以应对不正确地处理无效的线上证书状态通讯规约 (OCSP) 回应而引致的多个漏洞。这些漏洞让攻击者可在TLS连线时使用已撤销的证书进行身分验证。
成功利用这些漏洞可以导致控制受影响的系统。
系统管理员应将 Apache Tomcat Native版本升级以应对以上问题。更新版本可从以下网址下载:
http://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.17
受影响系统的用户应遵从产品供应商的建议,立即采取行动以降低风险。
http://tomcat.apache.org/security-native.html#Fixed_in_Apache_Tomcat_Native_Connector_1.2.17
https://www.hkcert.org/my_url/zh/alert/18082002
https://www.us-cert.gov/ncas/current-activity/2018/08/17/Apache-Releases-Security-Updates-Tomcat-Native
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8019
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-8020