阿里云
发表主题 回复主题
  • 7213阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

级别: 论坛版主
发帖
240
云币
471
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 =L:4i\4  
阿里提示您关注并尽快查,具体详情如下:                                                                                                                                                            
漏洞编号: ~ZEmULKkR  
CVE-2017-12615 RBm ;e0  
CVE-2017-12616 \LppYXz  
漏洞名称: <|+Ex  
CVE-2017-12615-远程代码执行漏洞 TDNQu_E  
CVE-2017-12616-信息泄露漏洞 lfz2~Si5A  
官方评级: ]0)|7TV*  
高危 7~aM=8r  
漏洞描述: b6F4>@gjg  
CVE-2017-12616:信息泄露漏洞 ~ga`\% J  
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。 4V==7p x(  
CVE-2017-12615:远程代码执行漏洞 g,95T Bc  
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。 #=f?0UTA  
通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 CS-uNG6  
漏洞利用条件和方式: s,n0jix@  
  • CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
  • CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。
mfo1+owT  
漏洞影响范围: i Ae<&Ms  
CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80 R_7 d@FQ1  
CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.79 ?5 cI'  
漏洞检测: <U >>ZSi  
开发人员检查是否使用受影响范围内的Apache Tomcat版本 .0rh y2  
漏洞修复建议(或缓解措施): U1RpLkibQ  
  • 根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启tomcat,临时规避安全风险;
      注意: 如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。 @8^[!F  
  • 官方已经发布Apache Tomcat 7.0.81 版本修复了两个漏洞,建议阿里云用户尽快升级到最新版本;
  • 可以选用阿里云云盾WAF进行防御
&c%g  
情报来源: *2Ht &  
  • https://tomcat.apache.org/security-7.html
  • http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
;Tc`}2  
YY!6/5*/]  
";Rtiiu  
oDYRQozo>  
UE ,t8j  
ANSFdc  
ux3<l+jv^  
88h3|'*  
'-b*EZU8t  
?Poq2  
UHxE)]J  
,|plWIl~  
[$"n^5_~  
J6G(_(d  
p4i]7o@  
ez!C?  
<_Q:'cx'  
z;wELz1L{  
Y> Wu  
dwd:6.J(  
"=za??\K}  
^:* 1d \  
^=SD9V  
;cz|ss=  
|{ PI102  
QtqfG{  
Bk\Gj`"7  
jDN ]3Y`  
9>rPe1iv  
VZ](uFBY  
0}xFD6{X  
NDAw{[.%  
b2=0}~LK  
{ e5/+W  
F. =Bnw/-  
{$^DMANDx  
3^ ~KB'RZ  
dwv6;x  
j$Je6zq0x  
JS>Gd/Jd  
fb:j%1WF  
`VL}.h  
t 6^l`6:p  
C 2w2252T  
P7f,OY<@%o  
"y<?Q}1  
FSb Hn{@  
-tI'3oT1  
;kJA'|GX  
$<|l E/_]  
D^;*U[F?  
1G'`2ATF*  
'vaLUy9]  
"AhTH.ZP  
V)i5=bHC  
T!}[yW  
\Ro^*4B  
?kz+R'  
$VQtwuYt  
HH>:g(bu  
@Ehn(}  
xN@Pz)yo  
=@5x"MOz  
M}wXJ8aF?  
[ 此帖被正禾在2017-09-20 22:49重新编辑 ]
级别: 新人
发帖
10
云币
10
只看该作者 沙发  发表于: 2017-09-25
Re【漏洞公告】CVE-2017-12615/CVE-2017-12616Tomcat信息泄漏和远程代码执行漏洞
噢噢噢噢
级别: 禁止发言
发帖
51
云币
69
只看该作者 板凳  发表于: 2017-10-05
用户被禁言,该主题自动屏蔽!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个