发布日期：2002-06-12
更新日期：2002-06-20

受影响系统：

Apache Software Foundation Tomcat 4.0.3
Apache Software Foundation Tomcat 4.0.2
Apache Software Foundation Tomcat 4.0.1
Apache Software Foundation Tomcat 4.0
Apache Software Foundation Tomcat 3.3.1
Apache Software Foundation Tomcat 3.3
Apache Software Foundation Tomcat 3.2.4
Apache Software Foundation Tomcat 3.2.3
Apache Software Foundation Tomcat 3.2.1
Apache Software Foundation Tomcat 3.2
Apache Software Foundation Tomcat 4.1
    - Linux系统  
    - Unix系统

描述：

---

BUGTRAQ  ID: 4995
CVE(CAN) ID: CVE-2002-0936

Apache Tomcat是一款由Apache Foundation维护的免费开放源代码的WEB服务程序。

Windows操作系统下的Apache Tomcat处理畸形JSP代码时存在漏洞，远程攻击者可以利用此漏洞进行拒绝服务攻击。

Tomcat JSP引擎在处理如下畸形代码时存在漏洞：

new WPrinterJob().pageSetup(null,null);

攻击者可以构建包含如上代码的JSP页，当用户的Tomcat JSP引擎处理此页面时导致崩溃。

<*来源：Marc Schoenefeld （marc.schoenefeld@uni-muenster.de）
  
  链接：http://archives.neohapsis.com/archives/vulnwatch/2002-q2/0095.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 加强服务器本地权限管理，不要放置恶意脚本。

厂商补丁：

Apache Software Foundation
--------------------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://jakarta.apache.org/tomcat/index.html

浏览次数：3642
严重程度：0（网友投票）