阿里云
发表主题 回复主题
  • 7760阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

级别: 论坛版主
发帖
240
云币
472
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 :8Mp SvCV  
阿里提示您关注并尽快查,具体详情如下:                                                                                                                                                            
漏洞编号: ?zKDPBj  
CVE-2017-12615 cD]{ Nn  
CVE-2017-12616 '9H]S Ew  
漏洞名称: ZN',=&;n'  
CVE-2017-12615-远程代码执行漏洞 T<?JL.8g_  
CVE-2017-12616-信息泄露漏洞 m>:3Ku  
官方评级: KGzBK:  
高危 cMI QbBM  
漏洞描述: =M ?  
CVE-2017-12616:信息泄露漏洞 FG1$_zN |  
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。 zEpcJHI%  
CVE-2017-12615:远程代码执行漏洞 _D[vMr[  
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。 OV Iu&6#  
通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 sR ~1J4  
漏洞利用条件和方式: dy#dug6j  
  • CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
  • CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。
[gQ*y~N  
漏洞影响范围: ES<"YF  
CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80 2y v'DS  
CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.79 UACWs3`s+  
漏洞检测: mvlK ~c8  
开发人员检查是否使用受影响范围内的Apache Tomcat版本 Dm"GCV  
漏洞修复建议(或缓解措施): )!e-5O49r  
  • 根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启tomcat,临时规避安全风险;
      注意: 如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。 n<y!@p^X  
  • 官方已经发布Apache Tomcat 7.0.81 版本修复了两个漏洞,建议阿里云用户尽快升级到最新版本;
  • 可以选用阿里云云盾WAF进行防御
%dKUB4  
情报来源: bxK1v7  
  • https://tomcat.apache.org/security-7.html
  • http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
LH3PgGi,  
;HgV(d#X  
C$-IDBXK  
} |(KI  
km4::'(6  
A#f@0W:  
V2V^*9(wu@  
VD<W  
N?ky2wG  
pEw &i  
1wi{lJaz  
Yhb=^)@))  
,ZC^,Vq  
Lg sQz(-  
 Jx[IHE  
Tmg~ZI:MW  
7fgA)dU:K  
.UU BAyjm  
&w- QMj M>  
#y~^!fdp9  
ry/AF  
hmHm;l  
JD^(L~n]  
/q ;MihK  
k"LbB#Q  
?A3pXa  
}`{aeVHT  
{r#2X1  
^EPM~cEY\  
 I?.$  
W8'cAY  
^^qB=N[';  
$21+6  
.>Gq/[c0|  
fq~ <^B  
.:B] a7b  
`i<;5s!rX  
8&7LF  
QU2\gAM  
<iajtq<Z  
%`t;5kmR  
4=9To|U*  
):   
ZTfs&5  
:<Yc V#!P  
`7zz&f9dDX  
^,]'Ut  
Uvgv<OR`_  
2$. ubA  
o$FqMRep  
,Drd s"H  
+/*g?Vt  
HeZ! "^w  
jhr{JApbJv  
#/Y t4n  
zRbooo{N  
?g+0S@{i $  
y TfAS .  
@%q0fj8b  
yd2v_  
H[#s&Fk2  
W'hE,  
GJ edW   
;Oh4W<hH}  
[ 此帖被正禾在2017-09-20 22:49重新编辑 ]
级别: 新人
发帖
10
云币
10
只看该作者 沙发  发表于: 2017-09-25
Re【漏洞公告】CVE-2017-12615/CVE-2017-12616Tomcat信息泄漏和远程代码执行漏洞
噢噢噢噢
级别: 禁止发言
发帖
51
云币
69
只看该作者 板凳  发表于: 2017-10-05
用户被禁言,该主题自动屏蔽!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个