阿里云
服务器地域选择
发表主题 回复主题
  • 3781阅读
  • 2回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

级别: 论坛版主
发帖
183
云币
339
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 j i7[nY  
阿里提示您关注并尽快查,具体详情如下:                                                                                                                                                            
漏洞编号: _x(o*v[Pt  
CVE-2017-12615 "&G/T ?4  
CVE-2017-12616 R6;=n"Ueb  
漏洞名称: K8GP@yD]M  
CVE-2017-12615-远程代码执行漏洞 ~j}cyHg  
CVE-2017-12616-信息泄露漏洞 EyJJ0  
官方评级: \fz<.l]  
高危 qNB<T('  
漏洞描述: $P^q!H4D  
CVE-2017-12616:信息泄露漏洞 7&jTtKLj  
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。 !Qu"BF   
CVE-2017-12615:远程代码执行漏洞 Yg%I?  
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。 cUKE   
通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。 p6>Svcc  
漏洞利用条件和方式: 7)`nD<j 5  
  • CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
  • CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。
S"NqM[W  
漏洞影响范围: %Nlt H/I  
CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80 jnO9j_CY  
CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.79 AG`L64B  
漏洞检测: Cjm`|~&e+  
开发人员检查是否使用受影响范围内的Apache Tomcat版本 _.tVSV p  
漏洞修复建议(或缓解措施): #+ 0M2Sa  
  • 根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启tomcat,临时规避安全风险;
      注意: 如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。 f phv  
  • 官方已经发布Apache Tomcat 7.0.81 版本修复了两个漏洞,建议阿里云用户尽快升级到最新版本;
  • 可以选用阿里云云盾WAF进行防御
jS]ru-5.  
情报来源: ^oBtfN>4  
  • https://tomcat.apache.org/security-7.html
  • http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
q9KHmhUD  
n{n52][J]  
5d Eh7XL  
?GKb7Oj  
KKj a/p  
n4;.W#\  
?PuBa`zDE  
vYwYQG  
1gL2ia  
!#], hok8X  
Yg]-wQrH  
PCHu #5j_a  
2e+UM$  
l%k\JY-  
(5$!MUS~9  
%". HaI]  
%<\vGqsM  
Qf~vZtJ+J  
nsu@h  
"%`1 ]Fr  
Q3kdlxXR  
6KXtcXQ  
.0zY}`  
=_.l8IYX$%  
,Xu-@br{  
x,=&JtKVc  
{% rA1g  
m|SUV  
%0S3V[4I  
D$w6V  
\r/rBa\  
ISYXH9V  
h9t$Uz^N  
JrJo|0Q  
nD_GL  
ak7bJ~)X=  
HZ aV7dOZ8  
iw3FA4{(  
8r*E-akuyr  
^=GC3%  J  
]i|h(>QWP  
M1k{t%M+S  
F6|TP.VY_.  
'j`=if  
GA$V0YQX  
2":pE U{E  
j_qbAP  
prWk2_D;*  
tZ]?^_Y1  
TJ2=m 9Z  
QJZK|*  
t;|@o\  
W/=.@JjI  
tP:lP#9  
6Pz4\uE=  
piJu+tUy  
RFi S@.7  
qz"}g/;?  
*l"T$H   
q;B4WL}  
{AhthR%(1  
I5X|(0es  
> $O]Eu!  
a[>/h3  
[ 此帖被正禾在2017-09-20 22:49重新编辑 ]
级别: 新人
发帖
10
云币
10
只看该作者 沙发  发表于: 09-25
Re【漏洞公告】CVE-2017-12615/CVE-2017-12616Tomcat信息泄漏和远程代码执行漏洞
噢噢噢噢
级别: 菜鸟
发帖
50
云币
69
只看该作者 板凳  发表于: 10-05
Re【漏洞公告】CVE-2017-12615/CVE-2017-12616Tomcat信息泄漏和远程代码执行漏洞
赶快升级 CYt?,qk-r  
;Y)w@bNt@  
我有几张阿里云幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。 m\;R2"H%  
https://promotion.aliyun.com/ntms/act/ambassador/sharetouser.html?userCode=6evata1e&utm_source=6evata1e
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 52 - 28 = ?
上一个 下一个