Tomcat 6.X 和 JDK 6.0X版本的结合,一直工作的很好,最近有朋友在测试Tomcat 7 和JDK 6u17版本的时候,会导致运行崩溃,工作不正常。
查看日志,显示内存泄漏严重,陷入死循环,我的猜想是:
1、Tomcat 7要求的JDK版本要 JDK 7.0X以上吧,在测试Tomcat 7时,我采用的是 JDK的高版本,这样工作就正常。
2、程序写法不正常,导致请求异常。
另外,我查找了相关资料,Tomcat 7.0.0 ~ 7.0.27 Tomcat 6.0.0 ~ 6.0.35 存在安全漏洞,以下是相关说明,如果有使用到一下版本的友友,可以尝试更新下Tomcat版本。
原文:
Apache 基金会成员 Mark Thomas 今天在邮件列表中公布了 Tomcat 中新发现的 3 个安全漏洞。1.
等级:严重
受影响版本:
- Tomcat 7.0.0 ~ 7.0.27
- Tomcat 6.0.0 ~ 6.0.35
描述:
当使用 NIO 连接器,并启用了 sendfile 和 HTTPS 时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服务。
解决方法:
- Tomcat 7.0.x 用户升级至 7.0.28 或更新版本
- Tomcat 6.0.x 用户升级至 6.0.36 或更新版本
2.
等级:严重
受影响版本:
- Tomcat 7.0.0 ~ 7.0.29
- Tomcat 6.0.0 ~ 6.0.35
- 早期版本也可能受影响
描述:
当使用 FORM 身份验证时,如果一些组件在调用 FormAuthenticator#authenticate ()之前调用 request.setUserPrincipal (),则可以在 FORM 验证器中通过在 URL 尾部附加上“/j_security_check”来绕过安全约束检查。
解决方法:
- Tomcat 7.0.x 用户升级至 7.0.30 或更新版本
- Tomcat 6.0.x 用户升级至 6.0.36 或更新版本
3.
等级:严重
受影响版本:
- Tomcat 7.0.0 ~ 7.0.31
- Tomcat 6.0.0 ~ 6.0.35
描述:
如果请求一个受保护的资源,而在请求中没有会话 ID,则可以绕过预防 CSRF 过滤器。
解决方法:
- Tomcat 7.0.x 用户升级至 7.0.32 或更新版本
- Tomcat 6.0.x 用户升级至 6.0.36 或更新版本