漏洞描述
漏洞编号：CVE-2018-1305、CVE-2018-1304
ApacheTomcat是美国阿帕奇（Apache）软件基金会下属的Jakarta项目的一款轻量级Web应用服务器，它主要用于开发和调试JSP程序，适用于中小型系统。Default Servlet是其中的一个对静态资源进行处理的类。
Apache Tomcat servlet 注释定义的安全约束，只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束，应用于URL模式及该点下任何URL，很可能取决于servlet加载的次序，对于某些不应用的安全约束，恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户，导致敏感信息泄露。

漏洞影响范围
以下版本受到影响：
 9版本（9.0.0.M1到9.0.4）
 8版本（8.5.0到8.5.27，8.0.0.RC1到8.0.49）
 7版本（7.0.0到7.0.84）
安全版本:
 大于或等于Apache Tomcat 9.0.5版本
 大于或等于Apache Tomcat 8.5.28版本
 大于或等于Apache Tomcat 8.0.50版本
 大于或等于Apache Tomcat 7.0.85版本

漏洞修复建议
目前官方已提供安全更新版本下载：
 9版本（9.0.5以后版本）：https://tomcat.apache.org/download-70.cgi
 8版本（8.5.28以后版本）:https://tomcat.apache.org/download-80.cgi
 7版本（7.0.85以后版本）:https://tomcat.apache.org/download-90.cgi