发布时间：2016-12-12

重要程度：重要

• Apache Tomcat 9.0.0.m1到9.0.0.m13

• Apache Tomcat 8.5.0到8.5.8 

• 更早期版本不受影响

描述：

8.5.x 的 Connector 代码重构引入了一个在 NIO HTTP 连接器发送文件的错误处理代码中的回归，因此处理发送文件错误导致当前处理器对象被多次添加到处理器高速缓存，这意味着处理器可以用于并发请求，共享处理器可导致请求之间的信息泄漏，包括但不限于会话ID和响应体。

解决方案：

安装了受影响版本的 NIO HTTP 连接器的用户可以采取以下方法解决：

• 切换到 NIO2 HTTP 或 APR HTTP 连接器

• 禁止发送文件

• 升级到 Apache Tomcat 9.0.0.M15 或更高版本 （Apache Tomcat 9.0.0.M14有修复，但没有发布）

• 升级到 Apache Tomcat 8.5.9或更高版本

•