阿里云
发表主题 回复主题
  • 7590阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞

级别: 论坛版主
发帖
240
云币
472
2018年2月23日,Apache发布安全公告,公告显示Apache Tomcat 7、8、9存在安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304,攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作 5m'AT]5Tn_  
由于Apache Tomcat 使用较广泛,建议用户关注并开展查工作。 OY(CB(2N  
y5=,q]Qjk[  
具体详情如下: NAtDt=  
        
f?^-JZ  
漏洞编号: >&e=0@?+G  
CVE-2018-1305 f*"T]AX0  
CVE-2018-1304 l=" X|t   
漏洞名称: LKI\(%ba#  
CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞 H-&27?s^  
官方评级: V,VL?J\  
中危 KyT=:f V  
漏洞描述: e0TxJ*  
Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,对于某些不应用的安全约束,恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户,导致敏感信息泄露。 V;RgO}  
漏洞利用条件和方式: ZZ{c  
通过PoC直接远程利用。 *^g]QQ  
PoC状态: t\QLj&h}E  
未公开  *p9)5  
漏洞影响范围: kmTYRl )j  
以下版本受到影响: u/|@iWK:  
  • 9版本(9.0.0.M1到9.0.4)
  • 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
  • 7版本(7.0.0到7.0.84)
EUI*:JU-  
安全版本: (||qFu9a  
  • 大于或等于Apache Tomcat 9.0.5版本
  • 大于或等于Apache Tomcat 8.5.28版本
  • 大于或等于Apache Tomcat 8.0.50版本
  • 大于或等于Apache Tomcat 7.0.85版本
Q_fgpjEh/t  
漏洞检测: mE{QTZS  
开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。 KI#v<4C$P  
漏洞修复建议(或缓解措施): R0#scr   
目前官方已提供安全更新版本下载 r{d@74  
W3Ee3  
提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。 =$bF[3D  
情报来源: nG5\vj,zB  
v4E=)?  
#l&*&R~>  
ami>Pp  
F[O147&C  
; xw9#.d#D  
ns5Dydo{T  
}m?Ut|  
=,ax"C?pR  
O SUiS`k  
wDoCc:  
W!.FnM5x  
wTR?8$  
ZGX"Vn|YL  
ZBY}Mz$  
fX,O9d$  
.WN&]yr,  
WhH60/`  
iKu3'jZ/O  
"8z Me L  
6=JJ!`"<2  
~MB)}!S:  
RYC%;h  
/i@.Xg@:  
@(x]+*)  
r/ATZAgHP  
6-?/kY6  
#LR6wEk  
oui0:Vy<  
suhnA(T{  
';v2ld 9  
gV':Xe  
k8}'@w  
E)I&? <g  
^HP$r*  
5gx;Bp^_  
<daH0l0  
(1er?4  
O@H D'  
[ 此帖被正禾在2018-02-27 23:05重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 03-02
Re【漏洞公告】CVE-2018-1305/CVE-2018-1304Apache Tomcat安全机制绕过漏洞
你好,这个是什么漏洞,怎么检测系统上存在这样的漏洞?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 49 + 21 = ?
上一个 下一个