Apache Tomcat 团队今天接连发布了两个重要安全公告，通知与 Tomcat 信息泄露相关的一个漏洞，以及另一个在此前广受关注的哈希碰撞引发拒绝服务（DoS）漏洞，Apache 建议用户对 Tomcat 进行升级从而规避此漏洞。

　　漏洞一：Apache Tomcat 信息泄露（CVE-2011-3375）

　　安全等级：重要

　　受影响版本：

• Tomcat 7.0.0 ~ 7.0.21
• Tomcat 6.0.30 ~ 6.0.33

　　漏洞描述：

　　出于性能考虑，Tomcat 在解析请求时通常会将获得的信息缓存于两个位置，即：内部的 request 对象和 processor 对象。这些对象不能同时回收。当发生某些错误需要被记录到 Tomcat 访问日志时，访问记录 process 将在 requset 对象被回收后触发该对象 re-population。然而，在 request 对象用于下一个请求前它尚未回收。这就会导致先前请求的信息泄露（例如，远程 IP 地址、HTTP 头等）。

　　解决方法：

• Tomcat 7.0.x 系列的用户应升级至7.0.22或以上版本
• Tomcat 6.0.x 系列用户请升级至6.0.35或以上版本。

　　参见：http://mail-archives.apache.org/mod_mbox/www-announce/201201.mbox/%3C4F155CDC.8050804@apache.org%3E

　　漏洞二：Apache Tomcat 拒绝服务（CVE-2012-0022）

　　安全等级：重要

　　受影响版本：

• Tomcat 7.0.0 ~ 7.0.22
• Tomcat 6.0.0 ~ 6.0.33
• Tomcat 5.5.0 ~ 5.5.34

　　漏洞描述：可以参见这篇文章介绍。

　　解决方案：

• Tomcat 7.0.x 用户请升级至 7.0.23 或以上版本
• Tomcat 6.0.x 用户请升级至6.0.35 或以上版本
• Tomcat 5.5.x 用户请升级至5.5.35 或以上版本

　　参见：http://mail-archives.apache.org/mod_mbox/www-announce/201201.mbox/%3C4F155CE2.3060301@apache.org%3E