1. 概述：
中標麒麟高級服務器操作系統V6系列有tomcat6可用更新。
中標軟件產品安全經評定此更新對產品安全有重要意義。

2. 相關版本/架構：
中標麒麟高級服務器操作系統V6 -x86_64

3. 描述：
Apache Tomcat 是管理 Java Servlet 和 JavaServerPages (JSP) 的servlet container 技術.

4. 安全加固:：
*發現錯誤處理某些字符時，HTTP請求的解析可以被利用來操縱受限制的HTTP響應成功利用該漏洞需要產品采用代理，以不同的方式解析某些字符。通過操作HTTP響應攻擊者可能使網頁緩存中毒,執行XSS攻擊,或從其他自己的請求獲取敏感信息。(CVE-2016-6816)
 
注意：這個修復導致當HTTP請求包含不被允許的字符或非規范編碼時Tomcat響應一個HTTP 400失敗請求錯誤，即使他們曾是被允許也不可。新引入的系統屬性tomcat.util.http.parser.HttpParser.requestTargetAllow可用于非編碼形式下配置Tomcat來接受花括號({and})和管道符號(|)。
一個在 NIO HTTP 連接器發送文件的錯誤被發現，這導致當前處理器對象被多次添加到處理器高速緩存，這意味著處理器可以用于并發請求，共享處理 器可導致請求之間的信息泄漏，包括但不限于會話ID和響應體。(CVE - 2016 - 8745)