阿里云
服务器地域选择
发表主题 回复主题
  • 3787阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

级别: 论坛版主
发帖
183
云币
339
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 -t<8)9q(  
阿里提示您关注并尽快查,具体详情如下:                                                                                                                                                            
漏洞编号: S-M| 6fv  
CVE-2017-12615 80p?qe  
CVE-2017-12616 xS4B"/  
漏洞名称: qM."W=XVN  
CVE-2017-12615-远程代码执行漏洞 M:!Twz$  
CVE-2017-12616-信息泄露漏洞 4! Cu>8B  
官方评级: Y55Yo5<j/+  
高危 7lo`)3mB  
漏洞描述: 8f^QO:  
CVE-2017-12616:信息泄露漏洞 Ly?%RmHK  
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。 bD&^-& G  
CVE-2017-12615:远程代码执行漏洞 %[x oA)0!  
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。 M!{;:m28X!  
通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 wTpjM@F?J|  
漏洞利用条件和方式: /``4!jU  
  • CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
  • CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。
DE{tpN  
漏洞影响范围: rNdeD~\  
CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80 JAjXhk<=  
CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.79 w3l+BUn:X  
漏洞检测: FD}hw9VyF@  
开发人员检查是否使用受影响范围内的Apache Tomcat版本 >O{U4_j@(  
漏洞修复建议(或缓解措施): D!K){ E  
  • 根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启tomcat,临时规避安全风险;
      注意: 如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。 ,?OV39h  
  • 官方已经发布Apache Tomcat 7.0.81 版本修复了两个漏洞,建议阿里云用户尽快升级到最新版本;
  • 可以选用阿里云云盾WAF进行防御
Ft7{P.g  
情报来源: mSw$? >  
  • https://tomcat.apache.org/security-7.html
  • http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
duCso M/  
;*3OkNxa3  
xKilTh_.6  
/[[_}\xI%  
/M:R|91:_  
% R18  
5 A/[x $q  
QY]^^f  
E>/kNl  
c.-/e u^|  
j}0W|*  
Im NTk  
7^{M:kYC!  
u7rA8u|TO  
+ _=&7  
[D]9M"L,vQ  
8"d0Su4r  
O!0YlIvWv  
&P+7Um(  
th@a./h"  
K$S:V=y%r7  
J! ;g.q  
x%acWeV5  
.'zXO  
n:hHm,  
N5 BC<pu  
K#j<G]I( @  
'#~$Od4&=  
CNC3">Dk~9  
@a AR99M  
B8+J0jdg6%  
 xc%\%8C}  
'cs!(z-{x  
#cG7h(!  
)7U^&I,  
v/n4Lp$W^  
]7 qn&(]  
e rz9CX  
V SJGp`  
^;";fr Vw  
hdL/zW7]  
08J[9a0[  
Xb0$BAP  
up[9L|  
uSZCJ#'G  
`1|#Za~e  
k)Y}X)\36  
q=NI}k  
q^:>sfd  
!N\<QRb\q  
+_.k\CRms  
F`/-Q>Q  
j]-0m4QF  
?gknJ:  
H .F-mm  
(0L7Ivg<  
Yt]tRqrh;T  
@J`o pR  
$uw[X  
fkLI$Cl  
{WBe(dc_%  
l@;UwnI  
bW"bkA80  
-s?f<f{  
[ 此帖被正禾在2017-09-20 22:49重新编辑 ]
级别: 新人
发帖
10
云币
10
只看该作者 沙发  发表于: 09-25
Re【漏洞公告】CVE-2017-12615/CVE-2017-12616Tomcat信息泄漏和远程代码执行漏洞
噢噢噢噢
级别: 菜鸟
发帖
50
云币
69
只看该作者 板凳  发表于: 10-05
Re【漏洞公告】CVE-2017-12615/CVE-2017-12616Tomcat信息泄漏和远程代码执行漏洞
赶快升级 V}Ok>6(~  
;aj4V<@  
我有几张阿里云幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。 +L\Dh.Ir  
https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=6evata1e&utm_source=6evata1e
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个