阿里云
发表主题 回复主题
  • 6827阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞

级别: 论坛版主
发帖
237
云币
465
2018年2月23日,Apache发布安全公告,公告显示Apache Tomcat 7、8、9存在安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304,攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作 Z_fwvcZ?05  
由于Apache Tomcat 使用较广泛,建议用户关注并开展查工作。 O(VWJ@EHn  
eK5~YM:o  
具体详情如下: $41<ldJ  
        
B!&y>Z^$  
漏洞编号: \Zh&[D!2  
CVE-2018-1305 N;,zPWa  
CVE-2018-1304 pU'${Z~b  
漏洞名称: H4sW%nZ0  
CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞 qM+Ai*q  
官方评级: 3Gr"YG{,  
中危 <-fvYer  
漏洞描述: 'IFA>}e7W  
Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,对于某些不应用的安全约束,恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户,导致敏感信息泄露。 WrcmC$ff  
漏洞利用条件和方式:  Na@;F{  
通过PoC直接远程利用。 /KNR;n'  
PoC状态: 'CSjj@3X  
未公开 [V qiF~o,  
漏洞影响范围: \F-n}Z  
以下版本受到影响: ,i|K} Y&  
  • 9版本(9.0.0.M1到9.0.4)
  • 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
  • 7版本(7.0.0到7.0.84)
.dVV# H  
安全版本: wVFa51a)yy  
  • 大于或等于Apache Tomcat 9.0.5版本
  • 大于或等于Apache Tomcat 8.5.28版本
  • 大于或等于Apache Tomcat 8.0.50版本
  • 大于或等于Apache Tomcat 7.0.85版本
{&XTa`C  
漏洞检测: U;IGV~oT  
开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。 _KKux3a  
漏洞修复建议(或缓解措施): po\jhfn  
目前官方已提供安全更新版本下载 jSM`bE+"  
{[`(o 0@(  
提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。 }st~$JsV1  
情报来源: s,f2[6\Y  
,9}JPv4Z  
$]Ix(7@W  
J[r_ag  
&WLN   
Y0kcxpK/  
2O@ON/  
)B +o F7  
W1<*9O  
n0gjcDHQ  
5Za<]qxr  
rir,|y,  
[%R?^*]  
1%vE7a>{  
=liyd74%`  
\p( 0H6  
E;4B!"Q8  
~PQR_?1  
1 oKY7i$  
f/Y7@y  
HJJ)DE7;  
-6uLww=w4  
lH`c&LL-=!  
3!@& 7@p  
.#Z'CZO|  
w5s&Ws  
E&z^E2  
a6ryyt 5  
`L <sZ;Cj  
B* 3_m _a  
ZVJ6 {DS/  
2B6u) 95  
*c/|/  
I]5){Q" S  
j|o/>^ 'e  
`|"o\Bg<  
|5FEsts[  
c[X6!_  
^t<L  
[ 此帖被正禾在2018-02-27 23:05重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 03-02
Re【漏洞公告】CVE-2018-1305/CVE-2018-1304Apache Tomcat安全机制绕过漏洞
你好,这个是什么漏洞,怎么检测系统上存在这样的漏洞?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个