阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 11583阅读
  • 6回复

[安全漏洞公告专区]【漏洞公告】Apache Tomcat远程代码执行漏洞(CVE-2016-8735 )

级别: 论坛版主
发帖
241
云币
478
2016.11.22日,Apache 官方安全团队发布了关于Apache tomcat存在远程代码执行漏洞,该漏洞于Oracle之前修复的mxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)相关,该漏洞由于使用了JmxRemoteLifecycleListener功能导致,具体漏洞详情如下: @wzzI 7}C  
                          
U{^~X_?  
漏洞编号:CVE-2016-8735 _trF/U<  
;r**`O  
GS!7HphR  
漏洞描述: Rn"Raq7Cn*  
该漏洞诱因主要存在于Oracle已经修复JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。 Tomcat同时也使用了JmxRemoteLifecycleListener这个监听功能,但是Tomcat并没有及时升级,从而导致该远程代码执行漏洞。 s>A!Egmo  
@U~i<kt  
U$-;^=;  
漏洞危害: %xa.{`}`U  
黑客通过利用漏洞可以实现远程命令执行,严重情况下可能会导致业务中断或数据泄露。 ^xBF$ua37)  
WAzYnl'p  
\( S69@f  
漏洞利用条件: =\t%U5  
可以实现远程利用。 @W{VT7w  
n!nXM  
&zGf`Zi6*%  
漏洞影响范围: (W=J3 ?hn  
LF2@qvwD  
Apache Tomcat 9.0.0.M1 to 9.0.0.M11 I04GQql  
Apache Tomcat 8.5.0 to 8.5.6 \wyn  
Apache Tomcat 8.0.0.RC1 to 8.0.38 ,3m]jp'  
Apache Tomcat 7.0.0 to 7.0.72 , W w\C  
Apache Tomcat 6.0.0 to 6.0.47  `PV+.V}  
R a> k#pQ  
Sqc r -  
漏洞测试方案: F(yx/W>Br_  
1.您可以人工检查是否开启了10001和10002端口服务发布到互联网 7wO0d/l_  
2.检查tomcat是否启用了JmxRemoteLifecycleListener功能 lphELPh  
[font=arial, &quot]查看tomcat包目录下面的conf/server.xml的配置 `|t X[':  
[font=arial, &quot]
  1. <Listener className="org.apache.catalina.mbeans.JmxRemoteLifecycleListener" rmiRegistryPortPlatform="10001" rmiServerPortPlatform="10002" />
? iX1;c9  
y<53xZi  
注:不推荐使用POC测试方式 \`nRgY SE  
u{H'evv0O  
$O+e+Y  
漏洞修复建议(或缓解措施): qtqTLl@u  
1.紧急措施: pPC_ub  
关闭JmxRemoteLifecycleListener功能,或者是对jmx JmxRemoteLifecycleListener 远程端口进行网络访问控制 * KDT0;/s  
增加严格的认证方式 SkmLX@:(  
2.推荐方案官方已经发布了版本更新,建议用户升级到最新版本: N33{vx  
Apache Tomcat 9.0.0.M13或更新版本  (Apache Tomcat 9.0.0.M12实际上也修复了此漏洞,但并未发布); 86]})H  
Apache Tomcat 8.5.8或更新版本  (Apache Tomcat 8.5.7实际上也修复了此漏洞,但并未发布); |Lq -vs?  
Apache Tomcat 8.0.39或更新版本; wFgL\[$^|  
Apache Tomcat 7.0.73或更新版本; -w0U }Te^  
Apache Tomcat 6.0.48或更新版本 j:JM v  
^/)!)=?  
RR%[]M#_T  
参考信息 Ab"mX0n  
/c`s$h4-  
[1].http://seclists.org/oss-sec/2016/q4/502 ,>DaS(  
[2].http://engineering.pivotal.io/post/java-deserialization-jmx/ ! uC`7a  
[3].http://svn.apache.org/viewvc?view=revision&revision=1767644http://tomcat.apache.org/security-9.html v Ft]n  
[4].http://tomcat.apache.org/security-8.html H-*"%SJ  
[5].http://tomcat.apache.org/security-7.html YivWvV  
[6].http://tomcat.apache.org/security-6.html c]pO'6]  
)2U#<v^  
;[)t*yAh  
xnyp'O8yk  
@IB+@RmL  
S`!MoIMsD  
A? =(q  
:%#(<@{  
G)I lkA@  
>=|;2*9v  
Kg#5 @;  
5y}kI  
d/Sx+1 "{T  
"S">#.L  
wbC'SOM  
x8]9Xe:_>O  
/K#t$O4  
C ?^si  
HxC_n h  
^:b%Q O  
[ 此帖被正禾在2016-12-08 15:54重新编辑 ]
级别: 论坛版主
发帖
4292
云币
2524

只看该作者 沙发  发表于: 2016-12-03
感谢您的分享!
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 板凳  发表于: 2016-12-04
回 楼主(正禾) 的帖子
辛苦啦,那么晚还发公告
级别: 论坛版主
发帖
3606
云币
2556
只看该作者 地板  发表于: 2016-12-04
上个相信修复过程吧  
我的中国 教程整理:https://bbs.aliyun.com/read/317306.html
级别: 论坛版主
发帖
241
云币
478
只看该作者 4楼 发表于: 2016-12-06
回 3楼(我的中国) 的帖子
修复过程就是升级和不要启用JmxRemoteLifecycleListener 功能,tomcat的升级就是重新下载一个包,这个就不在这里累赘了。
级别: 新人
发帖
11
云币
17
只看该作者 5楼 发表于: 2016-12-08
Re【漏洞公告】Apache Tomcat远程代码执行漏洞(CVE-2016-8735 )
楼主 怎么查看tomcat是否启用了JmxRemoteLifecycleListener 功能,若是启用了,我该怎么关闭呢?
级别: 论坛版主
发帖
241
云币
478
只看该作者 6楼 发表于: 2016-12-08
回 5楼(子林) 的帖子
已经更新检查方法,详细功能信息参见:https://tomcat.apache.org/tomcat-7.0-doc/config/listeners.html
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)