阿里云
阿里云飞天战略营全新发布
发表主题 回复主题
  • 5027阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞

级别: 论坛版主
发帖
227
云币
443
2018年2月23日,Apache发布安全公告,公告显示Apache Tomcat 7、8、9存在安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304,攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作 US\h,J\Ju  
由于Apache Tomcat 使用较广泛,建议用户关注并开展查工作。 a3L-q>h  
I.it4~]H  
具体详情如下: 0cq<!{d  
        
'xGTaKlm,  
漏洞编号: 1Cw HGO  
CVE-2018-1305 mJYD"WgY  
CVE-2018-1304 FM7`q7d  
漏洞名称: lN x7$z`  
CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞 e-#V s{?|r  
官方评级: I3u)y|Y=  
中危 0~ o,^AW  
漏洞描述: }ld^zyL  
Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,对于某些不应用的安全约束,恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户,导致敏感信息泄露。 \2CEEs'  
漏洞利用条件和方式: AcHeZb8b  
通过PoC直接远程利用。 #7@p  
PoC状态: GP;N1/=  
未公开 -d^'-s  
漏洞影响范围: V[n,fEPBr  
以下版本受到影响: rU6A^p\,  
  • 9版本(9.0.0.M1到9.0.4)
  • 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
  • 7版本(7.0.0到7.0.84)
:6]qr86  
安全版本: d.HcO^  
  • 大于或等于Apache Tomcat 9.0.5版本
  • 大于或等于Apache Tomcat 8.5.28版本
  • 大于或等于Apache Tomcat 8.0.50版本
  • 大于或等于Apache Tomcat 7.0.85版本
3-'3w,  
漏洞检测: 4W}mPeEeV  
开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。 VOIni<9y  
漏洞修复建议(或缓解措施): MBAj.J  
目前官方已提供安全更新版本下载 )_Z^oH ]<  
~/XDA:nfL:  
提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。 RhC|x,E  
情报来源: 7C R6ew~  
F)v  
UZ#oaD8H6  
zQ#* O'-n  
#jd.i  
@_W13@|  
Dt{WRe\#  
pRd'\+  
IUNr<w<  
`5!AHQ/  
{ {:Fs  
jw`05rw:  
1 b 86@f   
@_7rd  
-m@PqJF^  
WdlGnFAWh  
tP"6H-)X&  
SN]g4}K-  
&AWrM{e  
u0A$}r$L  
7mf&`.C np  
p|8ZHR+  
5-y*]:g(  
v/=\(  
3W]gn8  
4 Yv:\c  
6B|i-b $~  
ZO/u3&gU  
ir"t@"Y;o  
x^1d9Z  
p$qk\efv*4  
C#^y{q  
8A.7q  
P/.<sr=2  
GZ,MC?W  
MIn_?r  
GBT|1c'i  
2QM{e!9  
~J&-~<%P}  
[ 此帖被正禾在2018-02-27 23:05重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 03-02
Re【漏洞公告】CVE-2018-1305/CVE-2018-1304Apache Tomcat安全机制绕过漏洞
你好,这个是什么漏洞,怎么检测系统上存在这样的漏洞?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个