阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 11588阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞

级别: 论坛版主
发帖
241
云币
478
2018年2月23日,Apache发布安全公告,公告显示Apache Tomcat 7、8、9存在安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304,攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作 4}&$s  
由于Apache Tomcat 使用较广泛,建议用户关注并开展查工作。 )a99@`L\P  
@ (4$<><  
具体详情如下: tg5G`P5PJ  
        
~&{LMf  
漏洞编号: 7UnB]-:.  
CVE-2018-1305 #ATV#/hW  
CVE-2018-1304 #z$g1\v  
漏洞名称: 4Kl{^2  
CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞 4 s&9A/&pC  
官方评级: dkUh[yo"H  
中危 $Jc>B#1  
漏洞描述: jc0Trs{Jf  
Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,对于某些不应用的安全约束,恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户,导致敏感信息泄露。 ;cpQ[+$nKp  
漏洞利用条件和方式: KdN+$fe*g  
通过PoC直接远程利用。 V)q|U6R  
PoC状态: ?R#?=<VkG  
未公开 fC|NK+Xd`  
漏洞影响范围: lE|Hp  
以下版本受到影响: .^hk^r  
  • 9版本(9.0.0.M1到9.0.4)
  • 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
  • 7版本(7.0.0到7.0.84)
Cr&,*lUo  
安全版本: ]'q"Kw/10  
  • 大于或等于Apache Tomcat 9.0.5版本
  • 大于或等于Apache Tomcat 8.5.28版本
  • 大于或等于Apache Tomcat 8.0.50版本
  • 大于或等于Apache Tomcat 7.0.85版本
y*oH"]D  
漏洞检测:  iup "P  
开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。 ^ s.necg0  
漏洞修复建议(或缓解措施): Aq3.%,X2H  
目前官方已提供安全更新版本下载 YZ\a#s ,0  
lX)ZQY:=:  
提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。 N$I@]PL  
情报来源: Z4VNm1qs  
M dKkj[#  
zLt7jxx  
x9Oo.[  
))NiX^)8^  
XSBh+)0Ww  
#^i.[7p  
9fhgCu]$  
oEJYAKN  
q\uzmOh  
N0mP EF2  
rb_FBa%  
q{RH/. l  
gR#lRA/  
Bk44 wz2 X  
jT:z#B%  
h+d  \u  
qPH=2k ,H  
W|,Y*l  
%pd-{KR  
Y;I>rC (  
a9%^Jvm"  
9*&RvsrX  
m,|)$R  
'n$TJp|s  
?7k%4~H t  
VdC,M;/=Z  
aMq|xHZ  
]>T4\?aC  
-1z<,IN+  
rdBF+YN9/?  
}<7S% ?TY  
qGK -f4  
+3wVcL  
3@*orm>em  
bd & /B&a  
sgxD5xj}4  
[OU[i(,{  
r0'6\MS13  
[ 此帖被正禾在2018-02-27 23:05重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 2018-03-02
Re【漏洞公告】CVE-2018-1305/CVE-2018-1304Apache Tomcat安全机制绕过漏洞
你好,这个是什么漏洞,怎么检测系统上存在这样的漏洞?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)