阿里云
发表主题 回复主题
  • 8159阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞

级别: 论坛版主
发帖
240
云币
472
2018年2月23日,Apache发布安全公告,公告显示Apache Tomcat 7、8、9存在安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304,攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作 k`r`ZA(kQ-  
由于Apache Tomcat 使用较广泛,建议用户关注并开展查工作。 S0p[Kt  
;+R  
具体详情如下: r( 8!SVX  
        
@SH$QUM(  
漏洞编号: {*t0WE&1t  
CVE-2018-1305 yq\p%z$:  
CVE-2018-1304 9\a;75a  
漏洞名称: uxD$dd?  
CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞 T8-,t];i  
官方评级: } ^n346^  
中危 5YnTGf&  
漏洞描述: 0m&W: c  
Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,对于某些不应用的安全约束,恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户,导致敏感信息泄露。 a X:,1^  
漏洞利用条件和方式: q# t&\M.U  
通过PoC直接远程利用。 )CUB7D)=  
PoC状态: ;TTH  
未公开 4~mmP.c  
漏洞影响范围: I&|J +B?#  
以下版本受到影响: f,'9Bj. ~  
  • 9版本(9.0.0.M1到9.0.4)
  • 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
  • 7版本(7.0.0到7.0.84)
SH/^qDT'  
安全版本: $ {5|{`  
  • 大于或等于Apache Tomcat 9.0.5版本
  • 大于或等于Apache Tomcat 8.5.28版本
  • 大于或等于Apache Tomcat 8.0.50版本
  • 大于或等于Apache Tomcat 7.0.85版本
Z<@dM2b)  
漏洞检测: Eao^/MKx-  
开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。 $I:&5o i  
漏洞修复建议(或缓解措施): J0O wzO  
目前官方已提供安全更新版本下载 0`%Ask  
.Arcsg   
提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。 <X ~P62<  
情报来源: e|S_B*1*0  
9KGi%UIFvn  
0mi$_Ld+  
b_rHt s  
d@e2+3<  
r%UsUj  
rs+ ["h  
'jj|bN  
o#=@!m  
HGl.dO 7NU  
X &s"}Hf  
q3}WO] TBj  
W2T6JFv  
c01i !XS  
nC(<eL  
pUD(5v*0R  
^SC2k LI  
pRH'>}rtuH  
.-4]FGg3  
fF]w[lLDv  
3:"w"0[K3  
2pmqP-pKd  
J1g+H2  
x". !&5  
|*n B2  
}BI|M_q.1~  
am+w<NJ(us  
NE4 }!I  
+sT S1t  
Q:U>nm>xA  
2KtK.2;7  
E{BX $R_8  
nZ % %{#T7  
u\Y3h:@u  
qT~a`ou:  
NOFuX9/'w  
r1 [c+Hy  
.,F`*JVFq  
Z -fiJ75  
[ 此帖被正禾在2018-02-27 23:05重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 03-02
Re【漏洞公告】CVE-2018-1305/CVE-2018-1304Apache Tomcat安全机制绕过漏洞
你好,这个是什么漏洞,怎么检测系统上存在这样的漏洞?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个