1. 概述：
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V6系列有tomcat6可用更新。
中標(biāo)軟件產(chǎn)品安全經(jīng)評(píng)定此更新對產(chǎn)品安全有重要意義。

2. 相關(guān)版本/架構(gòu)：
中標(biāo)麒麟高級(jí)服務(wù)器操作系統(tǒng)V6 -x86_64

3. 描述：
Apache Tomcat 是管理 Java Servlet 和 JavaServerPages (JSP) 的servlet container 技術(shù).

4. 安全加固:：
*發(fā)現(xiàn)錯(cuò)誤處理某些字符時(shí)，HTTP請求的解析可以被利用來操縱受限制的HTTP響應(yīng)成功利用該漏洞需要產(chǎn)品采用代理，以不同的方式解析某些字符。通過操作HTTP響應(yīng)攻擊者可能使網(wǎng)頁緩存中毒,執(zhí)行XSS攻擊,或從其他自己的請求獲取敏感信息。(CVE-2016-6816)
 
注意：這個(gè)修復(fù)導(dǎo)致當(dāng)HTTP請求包含不被允許的字符或非規(guī)范編碼時(shí)Tomcat響應(yīng)一個(gè)HTTP 400失敗請求錯(cuò)誤，即使他們曾是被允許也不可。新引入的系統(tǒng)屬性tomcat.util.http.parser.HttpParser.requestTargetAllow可用于非編碼形式下配置Tomcat來接受花括號(hào)({and})和管道符號(hào)(|)。
一個(gè)在 NIO HTTP 連接器發(fā)送文件的錯(cuò)誤被發(fā)現(xiàn)，這導(dǎo)致當(dāng)前處理器對象被多次添加到處理器高速緩存，這意味著處理器可以用于并發(fā)請求，共享處理 器可導(dǎo)致請求之間的信息泄漏，包括但不限于會(huì)話ID和響應(yīng)體。(CVE - 2016 - 8745)