技术文章 - CS162988
使用 Tomcat 在中提供基于表单的身份验证时,Apache Tomcat 中存在安全漏洞 Windchill
已修改: 11-Apr-2016
适用于
- Windchill PDMLink 9.1 to 10.1
说明
- Windchill 客户应注意,当使用基于表单的身份验证的 Tomcat 时,Apache Tomcat 早期版本中存在安全漏洞
- 较旧的 Tomcat 版本容易受到攻击,使得黑客能够劫持会话并获得对 Windchill 的未经授权的访问权限。
- 此问题 only会影响已利用 Tomcat 身份验证机制的 Tomcat 中使用 login 执行基于表单的身份验证的客户
- 由于 10.1 M010,Windchill 仅支持基于表单的身份验证
- 注意: Windchill 未在出厂设置中提供此配置
- 客户需要自定义以通过这种方式实现基于表单的身份验证。
- 有关基于表单的身份验证的详细信息,请参阅 Windchill 帮助中心的 Windchill 中的配置替代身份验证
- 可在此处找到有关此漏洞的详细信息http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-2067
- 此问题影响 Tomcat 7.0.0 通过7.0.32,Tomcat 6.0.0 通过6.0.36
这是文章 162988 的 PDF 版本,可能已过期。最新版本 CS162988