阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 11580阅读
  • 6回复

[安全漏洞公告专区]【漏洞公告】Apache Tomcat远程代码执行漏洞(CVE-2016-8735 )

级别: 论坛版主
发帖
241
云币
478
2016.11.22日,Apache 官方安全团队发布了关于Apache tomcat存在远程代码执行漏洞,该漏洞于Oracle之前修复的mxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)相关,该漏洞由于使用了JmxRemoteLifecycleListener功能导致,具体漏洞详情如下: )Qixde>]p  
                          
@Sd l~'"  
漏洞编号:CVE-2016-8735 ,`;Dre  
u<a =TPAU  
nk-V{']  
漏洞描述: HT6+OK(~dJ  
该漏洞诱因主要存在于Oracle已经修复JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。 Tomcat同时也使用了JmxRemoteLifecycleListener这个监听功能,但是Tomcat并没有及时升级,从而导致该远程代码执行漏洞。 KvfZj  
q+}Er*r  
v %GcNjZk5  
漏洞危害: LSN%k5G7.  
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断或数据泄露。 v#o<. Ig  
4KCJ(<p|  
&a];"2  
漏洞利用条件: s2M|ni=  
可以实现远程利用。 Ri&?uCCM  
>Pw ZHY  
FQGh+.U  
漏洞影响范围: yHt `kb2  
3^J~ts{*  
Apache Tomcat 9.0.0.M1 to 9.0.0.M11 E#A}J:  
Apache Tomcat 8.5.0 to 8.5.6 ! fSM6Vo  
Apache Tomcat 8.0.0.RC1 to 8.0.38 t ]yD95|  
Apache Tomcat 7.0.0 to 7.0.72 KD)+& 69  
Apache Tomcat 6.0.0 to 6.0.47 yqKERdm  
*g;4?_f  
QwL'5ws{q  
漏洞测试方案: \ 4r?=5v*  
1.您可以人工检查是否开启了10001和10002端口服务发布到互联网 +Xjevg6DU  
2.检查tomcat是否启用了JmxRemoteLifecycleListener功能 \"^.>+  
[font=arial, &quot]查看tomcat包目录下面的conf/server.xml的配置 g4fe(.?c,  
[font=arial, &quot]
  1. <Listener className="org.apache.catalina.mbeans.JmxRemoteLifecycleListener" rmiRegistryPortPlatform="10001" rmiServerPortPlatform="10002" />
:w5p#+/,P  
sHi *\  
注:不推荐使用POC测试方式 nax(V  
-F+dmI,1$  
dDoKmuY>5  
漏洞修复建议(或缓解措施): %juR6zB%8  
1.紧急措施: qe\JO'g#e  
关闭JmxRemoteLifecycleListener功能,或者是对jmx JmxRemoteLifecycleListener 远程端口进行网络访问控制 95%, 8t  
增加严格的认证方式 Z}*{4V`R  
2.推荐方案官方已经发布了版本更新,建议用户升级到最新版本: DRUvQf  
Apache Tomcat 9.0.0.M13或更新版本  (Apache Tomcat 9.0.0.M12实际上也修复了此漏洞,但并未发布); X_nxC6[m%  
Apache Tomcat 8.5.8或更新版本  (Apache Tomcat 8.5.7实际上也修复了此漏洞,但并未发布); j/<z[qr  
Apache Tomcat 8.0.39或更新版本; 6 s$jt-bH  
Apache Tomcat 7.0.73或更新版本; !04zWYHo  
Apache Tomcat 6.0.48或更新版本 -Bl !s^-'  
Q lg~S1D_v  
fqcFfz6?x  
参考信息 Zg#VZg1 2  
OKH4n/pq  
[1].http://seclists.org/oss-sec/2016/q4/502 ILQB%0!  
[2].http://engineering.pivotal.io/post/java-deserialization-jmx/ ]J%p&y+6  
[3].http://svn.apache.org/viewvc?view=revision&revision=1767644http://tomcat.apache.org/security-9.html 8w|-7$ v  
[4].http://tomcat.apache.org/security-8.html ;[~:Y[N  
[5].http://tomcat.apache.org/security-7.html 8A3pYW-  
[6].http://tomcat.apache.org/security-6.html Z[{k-_HgAm  
NLLLt  
w6 x{ <d  
UD@u hL  
Bh\>2]~@a  
v>&sb3I  
bim 82<F  
^*fZ  
WLe9m02r  
3Wl,T5}{  
c< P ML|e  
Y,%d_yR[  
8.'[>VzBL  
P e\AH  
> (.V(]{3y  
wCwJ#-z.=  
+?!x;qS^  
~fDMzOd  
6_s_2cr  
~baVS-v  
[ 此帖被正禾在2016-12-08 15:54重新编辑 ]
级别: 论坛版主
发帖
4292
云币
2524

只看该作者 沙发  发表于: 2016-12-03
感谢您的分享!
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 板凳  发表于: 2016-12-04
回 楼主(正禾) 的帖子
辛苦啦,那么晚还发公告
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 地板  发表于: 2016-12-04
上个相信修复过程吧  
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 论坛版主
发帖
241
云币
478
只看该作者 4楼 发表于: 2016-12-06
回 3楼(我的中国) 的帖子
修复过程就是升级和不要启用JmxRemoteLifecycleListener 功能,tomcat的升级就是重新下载一个包,这个就不在这里累赘了。
级别: 新人
发帖
11
云币
17
只看该作者 5楼 发表于: 2016-12-08
Re【漏洞公告】Apache Tomcat远程代码执行漏洞(CVE-2016-8735 )
楼主 怎么查看tomcat是否启用了JmxRemoteLifecycleListener 功能,若是启用了,我该怎么关闭呢?
级别: 论坛版主
发帖
241
云币
478
只看该作者 6楼 发表于: 2016-12-08
回 5楼(子林) 的帖子
已经更新检查方法,详细功能信息参见:https://tomcat.apache.org/tomcat-7.0-doc/config/listeners.html
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)