阿里云
发表主题 回复主题
  • 8193阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞

级别: 论坛版主
发帖
240
云币
472
2018年2月23日,Apache发布安全公告,公告显示Apache Tomcat 7、8、9存在安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304,攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作 O >@Q>Z8W?  
由于Apache Tomcat 使用较广泛,建议用户关注并开展查工作。 7x*C` Et<x  
DV*e.Y>  
具体详情如下: U0N6\+  
        
5 (q4o`  
漏洞编号: ogV v 8Xb  
CVE-2018-1305 >yLdrf  
CVE-2018-1304 7$*x&We  
漏洞名称: TpHzf3.I  
CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞 uE.. 1N&*  
官方评级: "K;""]#wg0  
中危 fEGnI\  
漏洞描述: 6;M{suG|  
Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,对于某些不应用的安全约束,恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户,导致敏感信息泄露。 H5CL0#I  
漏洞利用条件和方式: S&Hgr_/}c  
通过PoC直接远程利用。 c;n\HYk  
PoC状态: ~Ds3 -#mMy  
未公开 1>umf~%Wa  
漏洞影响范围: /7ykmW  
以下版本受到影响: /38XaKc{6  
  • 9版本(9.0.0.M1到9.0.4)
  • 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
  • 7版本(7.0.0到7.0.84)
<uo@k'   
安全版本: 8RS@YO  
  • 大于或等于Apache Tomcat 9.0.5版本
  • 大于或等于Apache Tomcat 8.5.28版本
  • 大于或等于Apache Tomcat 8.0.50版本
  • 大于或等于Apache Tomcat 7.0.85版本
dChMjaix  
漏洞检测: g?u=n`k]\  
开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。 g ?@fHFct  
漏洞修复建议(或缓解措施): fW=eB'Sl  
目前官方已提供安全更新版本下载 o;OEb  
\Y6r !D9  
提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。 *0_Q0SeE,o  
情报来源: TrQUhmS/!  
\ AB)L{  
_auFt"n  
WM ]eb, 8q  
!bCaDTz  
$M$-c{>s  
'*<I<? z;  
 _ Ewkb  
}q,dJE  
AP ]`'C  
| 3`8$-  
:BB=E'293  
Zb:Z,O(vn  
!.499H3  
dZ4c!3'F  
{+EnJ"  
v[)8 1uY  
dk0} q6~  
x~](d8*=  
Ko|gH]B'  
"/%o'Fq  
JoD@e[(  
FuG;$';H75  
m^w{:\p  
]<S{3F=  
)jh~jU?c@  
#5iy^?N"w  
Ar<!F/  
-lR7 @S  
JEF;Q  
X8wtdd]64  
;d FJqo82  
uQ7lC~  
s'bTP(wl9  
,sT5TS q  
1MmEP  
)JJF}m=  
WpRM|"CF  
eHR]qy 0_X  
[ 此帖被正禾在2018-02-27 23:05重新编辑 ]
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 03-02
Re【漏洞公告】CVE-2018-1305/CVE-2018-1304Apache Tomcat安全机制绕过漏洞
你好,这个是什么漏洞,怎么检测系统上存在这样的漏洞?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个