Apache Tomcat MemoryUserDatabase密码泄露漏洞

基本信息

漏洞ID：1175797
漏洞类型：信息泄露
发布日期：2011-06-27
更新时间：2015-04-13
CVE编号： CVE-2011-2204
CNNVD-ID：CNNVD-201106-334
漏洞平台： N/A
CVSS评分：1.9

漏洞来源

<a href="https://www.securityfocus.com/bid/48456" target="_blank">https://www.securityfocus.com/bid/48456</a><br/> <a href="http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201106-334" target="_blank">http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201106-334</a><br/>

漏洞详情

ApacheApacheTomcat是美国阿帕奇（Apache）软件基金会下属的Jakarta项目的一款轻量级Web应用服务器，它主要用于开发和调试JSP程序，适用于中小型系统。ApacheTomcat5.5.34之前的5.5.x版本，6.0.33之前的6.x版本，以及7.0.17之前的7.x版本中存在信息泄露漏洞。该漏洞源于使用MemoryUserDatabase的JMX在创建用户时产生的错误，本地用户可利用该漏洞在Tomcat日志中记录用户密码，导致泄露敏感信息。

参考资料

来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=717013
来源:XF
名称:tomcat-jmx-info-disclosure(68238)
链接:http://xforce.iss.net/xforce/xfdb/68238
来源:BID
名称:48456
链接:http://www.securityfocus.com/bid/48456
来源:OSVDB
名称:73429
链接:http://www.osvdb.org/73429
来源:tomcat.apache.org
链接:http://tomcat.apache.org/security-7.html
来源:tomcat.apache.org
链接:http://tomcat.apache.org/security-6.html
来源:tomcat.apache.org
链接:http://tomcat.apache.org/security-5.html
来源:SECTRACK
名称:1025712
链接:http://securitytracker.com/id?1025712
来源:SECUNIA
名称:44981
链接:http://secunia.com/advisories/44981
来源：NSFOCUS
名称：20539
链接：http://www.nsfocus.net/vulndb/20539