Tomcat存在信息泄露CVE-2017-12616与远程代码执行CVE-2017-12615漏洞
laoyan 2017-09-20 22:17:49
分 享

漏洞简介


Apache Tomcat是美国阿帕奇(Apache)软件基金会下属的Jakarta项目的一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。该漏洞爆出时间2017-9-20。Apache Tomcat 7.0.0到7.0.79版本中存在远程代码执行漏洞,当Tomcat运行在Windows主机上,且启用了 HTTP PUT 请求方法时,攻击者可通过精心构造的攻击请求向服务器上传包含任意代码的JSP文件,文件中的代码被服务器执行。2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞。


漏洞一:信息泄露漏洞(CVE-2017-12616)


当Tomcat中启用了 VirtualDirContext时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由VirtualDirContext提供支持资源服务的JSP源代码,从而造成代码信息泄露。


漏洞二:远程代码执行漏洞(CVE-2017-12615)


当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。


漏洞编号


信息泄露:CVE-2017-12616
远程代码执行:CVE-2017-12615


漏洞影响


信息泄露漏洞(CVE-2017-12616):Apache Tomcat 7.0.0 - 7.0.80

远程代码执行漏洞(CVE-2017-12615):Apache Tomcat 7.0.0-7.0.79


漏洞等级


高危


漏洞利用

 

远程代码执行漏洞(CVE-2017-12615)利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。


信息泄露漏洞(CVE-2017-12616)需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响


解决方案


1、升级至 Apache Tomcat 7.0.81 版本


http://tomcat.apache.org/download-70.cgi#7.0.81


2、将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true。


参考网址


http://www.cnvd.org.cn/webinfo/show/4246
https://tomcat.apache.org/security-7.html


转载请注明来自Lybbn(lybbn.cn)

我要小额支持下

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

取消
吐槽一下

游客

所有吐槽
  • 暂时还没有吐槽,赶紧来吐槽!