更新日期：2017-1-5

重要程度：重要

受影响的版本：

• Apache Tomcat 9.0.0.M1 to 9.0.0.M13

• Apache Tomcat 8.5.0 to 8.5.8

• Apache Tomcat 8.0.0.RC1 to 8.0.39 (new)

• Apache Tomcat 7.0.0 to 7.0.73 (new)

• Apache Tomcat 6.0.16 to 6.0.48 (new)

描述：

Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归，因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存，这意味着处理器可以用于并发请求，共享处理器可导致请求之间的信息泄漏，包括但不限于会话ID和响应体。

该错误首先在8.5.x版本中出现，似乎 8.5.x版本的Connector代码的重构更可能发生错误。最初，我们认为 8.5.x 重构引入了错误，但进一步的调查表明，该错误存在于当前支持的所有Tomcat版本中。

解决方案：

安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决：

• 切换到BIO HTTP，NIO2 HTTP或APR HTTP连接器

• 禁用发送文件

• 升级到Apache Tomcat 9.0.0.M15或更高版本

  （Apache Tomcat 9.0.0.M14有修复，但没有发布）

• 升级到Apache Tomcat 8.5.9或更高版本

• Apache Tomcat 8.0.40或更高版本发布后进行升级

• Apache Tomcat 7.0.74或更高版本发布后进行升级

• Apache Tomcat 6.0.49或更高版本发布后进行升级

更多详细内容请点击这里。