CVE-2014-0227 Apache Tomcat Request Smuggling

Message view

« Date » · « Thread »

Top

« Date » · « Thread »

From

Mark Thomas <ma...@apache.org>

Subject

[SECURITY] CVE-2014-0227 Apache Tomcat Request Smuggling

Date

Mon, 09 Feb 2015 09:12:47 GMT

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

CVE-2014-0227 Request Smuggling

Severity: Important

Vendor: The Apache Software Foundation

Versions Affected:
- - Apache Tomcat 8.0.0-RC1 to 8.0.8
- - Apache Tomcat 7.0.0 to 7.0.54
- - Apache Tomcat 6.0.0 to 6.0.41

Description:
It was possible to craft a malformed chunk as part of a chucked request
that caused Tomcat to read part of the request body as a new request.

Mitigation:
Users of affected versions should apply one of the following mitigations
- - Upgrade to Apache Tomcat 8.0.9 or later
- - Upgrade to Apache Tomcat 7.0.55 or later
- - Upgrade to Apache Tomcat 6.0.43 or later
(6.0.42 contains the fix but was not released)

Credit:
This issue was identified by the Tomcat security team.

References:
[1] http://tomcat.apache.org/security-8.html
[2] http://tomcat.apache.org/security-7.html
[3] http://tomcat.apache.org/security-6.html
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)

iQIcBAEBAgAGBQJU2HoOAAoJEBDAHFovYFnn/3wP/A3qNw/M6hrPYGtZJGtHmb3b
B7VMHvhW18nTVUIuS6pg/FIcLg//dRpzzosHGAygGZJRTqW6am3TF9IEGrtaqXED
3cLbIUcIlay8grokG5Ci4fduZ3pouVA8/xbWTW6ND0KORAAsCeeIVVs3+/IdyBrM
hRMST00A/ryXEBCzUdVATjd7bpdOAnRW/lSUI5/Ap+zQN1SR6rBdF224UaWRiZrr
4t55ZnStDQ10OT5a8R/uSZAftnRD3wRzOCquYHA7PbzpjDDmwbz00BQWErmlmgs/
ElN9Dmdn+/dFaaU9AGOLEhsse3KajfjgdWVXRoB2BJW3/GFgPT9vcHswINEgAZtp
HoNFavmlZr0bs+1YdSEx8qtitB6Wr4QiwWYzfwLMhZ3qx6g0NSTMY6g+JH7BVIOL
3xGf1B42LidgMqqpcyddLW3HFICRI6wX1IgK+rF8Obaga6UOCHgmCKTL4YBxe5XK
+YqEgH3HE1jwTL04FGsVMSAUIx4Z5wkm0rXsf3emHsyDytFQOyrJqI8AdGVMyOwO
ZEjqwFDCjW36I2YsoE4HffO/ZnTxJrZzOZOXXt7N7zfFfxXsJsSuBBM3il0VIPyB
AdmOl1RoeGx5Gj2WGIgXjPLCcOHaNTobClasFMvuzgPmxIHPViT1fhM/M41cre8M
v3iXCWFfOe15UtdBy57w
=BK1a
-----END PGP SIGNATURE-----

Mime

•Unnamed text/plain (inline, 7-Bit, 1736 bytes)

View raw message

from: [SECURITY] CVE-2014-0227 Apache Tomcat Request Smuggling

留言评论（旧系统）：

delectate @ 2015-02-13 20:26:06

找不到互动方式，就在这问问吧。病毒反调试的方式都详细，能不能在真实pc运行vboxtray.exe、vboxservice.exe、vmtoolsd.exe，odb之类的程序，让病毒以为是调试环境，从而做到防毒呢？

本站回复：

我靠这想法真天才！！！非常不错的想法！估计针对反虚拟机调试病毒有效！

回复楼上的 @ 2015-02-14 09:17:37

这个要看写程序的人吧,如果检测了虚拟机环境的话,并结束的话,我觉得是可以起到一定的作用,感觉作用不大,欢迎回复.

本站回复：

估计针对反虚拟机调试病毒有效！

delectate @ 2015-02-14 10:11:28

只是个设想，不太好确定是否有效；手里病毒样本太少。不过我觉得理论上是没问题的。

本站回复：

是的，应该是没问题的，估计针对反虚拟机调试病毒有效！

delectate @ 2015-02-14 10:14:13

老一点的病毒，由于os架构变化，对当下os危害不大，随便找个防毒软件都行；稍微新一点的病毒，都会有反调试的手段；虚拟机、沙盘里，老老实实跟好孩子一样。那么只要让他认为它在虚拟机里，它就不会出格啦。

本站回复：

想法非常不错，不过实际实行起来估计问题多多。

冷风 @ 2015-02-16 00:52:00

楼上的，你的想法是很好，但是很多病毒做的反调试反逆向都是有破坏程序的，触发了破坏程序，哈哈哈

本站回复：

+1

佚名 @ 2015-02-24 12:22:10

核总，发现52pj有人冒用你id 357781 ， http://www.52pojie.cn/space-uid-357781.html http://www.52pojie.cn/home.php?mod=space&uid=357781&do=profile&from=space

本站回复：

该高仿账号的资料： ---------- ID：357781 真实姓名：高文明性别：男生日：1995 年 10 月 10 日星座：天秤座生肖：猪出生地：山东省青岛市莱西市龙水街道居住地：山东省青岛市莱西市龙水街道学历：博士情感：状态热恋中。。。。。血型：A 在线时间：107 小时注册时间：2014-11-11 20:26 最后访问：2015-2-25 21:51 上次活动时间：2015-2-25 21:51 上次发表时间：2015-2-24 12:15 ---------- 看了一下他的发帖回帖记录，发现除了头像和ID高仿本人之外，回帖发帖并没有行骗之类的行为，推测应该只是本人的某个爱好者吧。最近两年发现这类冒用本人名字的各类网站账号非常多，同时借此机会声明下，我在吾爱破解论坛的账号是：http://www.52pojie.cn/space-uid-162510.html 非常感谢您的提醒！

佚名 @ 2015-02-24 15:23:53

不知道千度还好不好，记得我不。

本站回复：

额，不记得这个ID~

文章目录