阿里云
发表主题 回复主题
  • 6577阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

级别: 论坛版主
发帖
233
云币
457
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 $C\BcKlmv  
阿里提示您关注并尽快查,具体详情如下:                                                                                                                                                            
漏洞编号: MJvp6n  
CVE-2017-12615 nR~(0G,H  
CVE-2017-12616 nwWJ7M,A  
漏洞名称: }*-@!wc-N  
CVE-2017-12615-远程代码执行漏洞 <q SC#[xu  
CVE-2017-12616-信息泄露漏洞 nlYNN/@"  
官方评级: 1qch]1 ^G  
高危 HhpDR  
漏洞描述: / +\9S  
CVE-2017-12616:信息泄露漏洞 OH88n69  
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。 E3i4=!Y  
CVE-2017-12615:远程代码执行漏洞 dscgj5b1~  
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。 +H.`MZ=  
通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 ;I*o@x_  
漏洞利用条件和方式: -%~4W?  
  • CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
  • CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。
N$DkX)Z  
漏洞影响范围: R@0R`Zs  
CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80 /mMV{[  
CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.79 '7/)Ot(  
漏洞检测: ;r8X.>P*  
开发人员检查是否使用受影响范围内的Apache Tomcat版本 8QK&_n*  
漏洞修复建议(或缓解措施): yr6V3],Tp  
  • 根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启tomcat,临时规避安全风险;
      注意: 如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。 >V937  
  • 官方已经发布Apache Tomcat 7.0.81 版本修复了两个漏洞,建议阿里云用户尽快升级到最新版本;
  • 可以选用阿里云云盾WAF进行防御
O=lzT~G|4  
情报来源: U(Zq= M  
  • https://tomcat.apache.org/security-7.html
  • http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
)7d&NE_  
S 5U;#H  
/mHqurB  
:U\tv[  
>7FHo-H/T  
p'k0#R$  
!<oe=)Iz|  
v^iAD2X/F  
.6> w'F{>  
Fs{*XKv&lH  
FlQGg VN  
)1z@  
q| 7(  
LscGTs,  
O2+6st  
lFk R=!?=  
5N]"~w*  
\^LFkp  
KXrjqqXs  
D=$)n_F  
YQ} o?Q$z  
Q/?$x*\>  
t7pFW^&  
TrNF=x>  
jCY %|  
z{543~Og59  
_GPe<H  
3R/bz0 V>  
Smh,zCc>s  
rjP/l6 ~'  
"7 yD0T)2  
7=uj2.J6  
DDZ@$L!  
[Pp'Ye~K@c  
=D(j)<9$A  
xo)P?-  
]|@^1we  
54,er$$V  
xk5 ]^yDp  
+3gp%`c4  
("@!>|H  
;a/E42eN;  
#Z#-Ht  
#mT"gs  
Ef\ -VKh  
$qiya[&G4  
x;S @bY  
aXVFc5C\  
0Gk<l{o?^  
965 jtn  
=]t|];c%  
3Vwh|1?  
7$b1<.WX  
}k0_5S  
gi8FHSU|G  
'91/md5  
txpgO1  
wJ]d&::@h  
F2WKd1U  
qM`}{ /i  
~&T~1xsFJ  
RN1_S  
' %qr.T %  
[GR; ?R5  
[ 此帖被正禾在2017-09-20 22:49重新编辑 ]
级别: 新人
发帖
10
云币
10
只看该作者 沙发  发表于: 2017-09-25
Re【漏洞公告】CVE-2017-12615/CVE-2017-12616Tomcat信息泄漏和远程代码执行漏洞
噢噢噢噢
级别: 禁止发言
发帖
51
云币
69
只看该作者 板凳  发表于: 2017-10-05
用户被禁言,该主题自动屏蔽!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 50 - 36 = ?
上一个 下一个