阿里云
社区时光机
发表主题 回复主题
  • 5715阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

级别: 论坛版主
发帖
221
云币
412
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 a'T8U1  
阿里提示您关注并尽快查,具体详情如下:                                                                                                                                                            
漏洞编号: BGtr=&Hq  
CVE-2017-12615 n{d0}N =  
CVE-2017-12616 9O8na 'w  
漏洞名称: -/x= `S*  
CVE-2017-12615-远程代码执行漏洞 #.<Uy."z2  
CVE-2017-12616-信息泄露漏洞 eGwO!Lv}B  
官方评级: :%6OFO$z  
高危 <Km ^>9  
漏洞描述: YUzx,Y>k  
CVE-2017-12616:信息泄露漏洞 jGg,)~)Y  
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。 ?Uq;>  
CVE-2017-12615:远程代码执行漏洞 ^tMb"WO  
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。 \# p@ef  
通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 IhIz 7.|  
漏洞利用条件和方式: zBQV2.@  
  • CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
  • CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。
u|ph_?6 o  
漏洞影响范围: 3V(]*\L  
CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80 PBeBI:  
CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.79 SmpYH@  
漏洞检测: &$$o=Yg,  
开发人员检查是否使用受影响范围内的Apache Tomcat版本 Fy; sVB  
漏洞修复建议(或缓解措施): ty"|yA  
  • 根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启tomcat,临时规避安全风险;
      注意: 如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。 Wc*jTip  
  • 官方已经发布Apache Tomcat 7.0.81 版本修复了两个漏洞,建议阿里云用户尽快升级到最新版本;
  • 可以选用阿里云云盾WAF进行防御
D6$*#D3U  
情报来源: / 5!0wxN  
  • https://tomcat.apache.org/security-7.html
  • http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
a2!U9->!  
NmuzAZr  
Silh[8  
<2n5|.:>  
H zMr  
]c9\[Kdq}H  
+]3kcm7B  
R_4eME2LB  
qj7 }]T_  
5%_aN_1?ef  
E/3i _R  
qkM)zOZ^  
 [HEljEv  
 0"F|)  
^Q\Hy\  
w+wg)$i  
EKD?j  
Ud_7>P$a  
8\X-]Gh\^  
sTxgU !_  
/V {1Zw=  
_f1;Hhoa  
*x &  
64L;np>  
~n~j2OE  
4J1_rMfh  
B1V+CP3t  
]$,3vYBf  
O'Q,;s`uC  
2lCgUe)N  
8og8;#mnyr  
r;9 V7C  
VaW^;d#  
@#p6C  
y9N6!M|'y  
RW<10:  
S"t\LB*'Ls  
<L('RgA@X  
PfsUe,*  
M>Q3;s  
f5Hv![x  
(HXKa][T  
~"\WV4}`v  
c*y*UG  
T/.UMw  
4H^ACw  
Lq62  
?t<g|H/|6  
44s 9\  
BIS.,  
'd|!Hr<2  
ORM3o ucP  
&Dt=[yqeG  
\*&?o51 !e  
)4h|7^6ji  
lcLDCt ?  
kl[(!"p  
%gQUog  
<d"nz:e  
xkRS?Q g  
3d]~e  
V7}'g6X  
XdmpfUR,13  
5rfDm  
[ 此帖被正禾在2017-09-20 22:49重新编辑 ]
级别: 新人
发帖
10
云币
10
只看该作者 沙发  发表于: 2017-09-25
Re【漏洞公告】CVE-2017-12615/CVE-2017-12616Tomcat信息泄漏和远程代码执行漏洞
噢噢噢噢
级别: 禁止发言
发帖
51
云币
69
只看该作者 板凳  发表于: 2017-10-05
用户被禁言,该主题自动屏蔽!
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个