阿里云
发表主题 回复主题
  • 7565阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞

级别: 论坛版主
发帖
240
云币
472
2018年2月23日,Apache发布安全公告,公告显示Apache Tomcat 7、8、9存在安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304,攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作 |Y|6`9;  
由于Apache Tomcat 使用较广泛,建议用户关注并开展查工作。 wavyREK   
&[ oW"Q{  
具体详情如下: mnzB90<  
        
gn82_  
漏洞编号: B ]*v{?<W  
CVE-2018-1305 7`xeuK  
CVE-2018-1304 CgT5sk}  
漏洞名称: [A jY ~  
CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞 up_Qv#`Q  
官方评级: !AR@GuQPE  
中危 6&oaxAp<s  
漏洞描述: ,:[\h\5m  
Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,对于某些不应用的安全约束,恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户,导致敏感信息泄露。  9}-;OJe  
漏洞利用条件和方式: OQnb^fabY  
通过PoC直接远程利用。 Yt]Y(  
PoC状态: `@<>"ff#F  
未公开 pu-X -j  
漏洞影响范围: 1&Z#$iD  
以下版本受到影响: \]Bwib%h  
  • 9版本(9.0.0.M1到9.0.4)
  • 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
  • 7版本(7.0.0到7.0.84)
hqDnmzG  
安全版本: !)r1zSY"g  
  • 大于或等于Apache Tomcat 9.0.5版本
  • 大于或等于Apache Tomcat 8.5.28版本
  • 大于或等于Apache Tomcat 8.0.50版本
  • 大于或等于Apache Tomcat 7.0.85版本
#'y4UN  
漏洞检测: aHR+4m~)  
开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。 6 uS;H]nd<  
漏洞修复建议(或缓解措施): \d)HwO  
目前官方已提供安全更新版本下载 bVxbQ$  
;9MIapfUd(  
提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。 ZrNBkfe :  
情报来源: [AHoTlPZ  
d DrzO*a\  
^\ku}X_ [?  
V=d~}PJ>  
byJR6f  
dBm!`;r4  
r=gF&Og,?  
2rGg  
gmUX 2x(  
MA,7 |s  
STjk<DP(  
*<ILSZ  
IkP; i_|  
wbQs>pc  
){<qp  
cI\&&<>SlG  
GHR r+  
7Z< 2`&c7  
{ Ba_.]x  
<4:%M  
cGM?r}zJ  
g1{2E<b 5  
F\2<q$Zn+  
sl_f+h0  
&BxZ}JH=k  
h$)4%Fy  
aZ'(ar :  
HSj=g}r  
rVM?[_'O  
@/8O@^  
PiJ >gDx  
YBupC!R  
:Aa5,{v _  
19;Pjo8  
63SmQsv  
MZvxcr{x  
rqTsKrLe  
z9 $1jC  
7v V~O@JP  
[ 此帖被正禾在2018-02-27 23:05重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 03-02
Re【漏洞公告】CVE-2018-1305/CVE-2018-1304Apache Tomcat安全机制绕过漏洞
你好,这个是什么漏洞,怎么检测系统上存在这样的漏洞?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个