2017年9月19日胁黑,Apache Tomcat官方確認并修復(fù)了兩個高危漏洞扎筒,漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,該漏洞受影響版本為7.0-7.80之間螟碎,在一定條件下祠乃,攻擊者可以利用這兩個漏洞,獲取用戶服務(wù)器上 JSP 文件的源代碼,或是通過精心構(gòu)造的攻擊請求绣檬,向用戶服務(wù)器上傳惡意JSP文件,通過上傳的 JSP 文件 嫂粟,可在用戶服務(wù)器上執(zhí)行任意代碼娇未,從而導(dǎo)致數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限,存在高安全風(fēng)險星虹。
阿里云提示您關(guān)注并盡快自查零抬,具體詳情如下:
漏洞編號:
CVE-2017-12615
CVE-2017-12616
漏洞名稱:
CVE-2017-12615-遠程代碼執(zhí)行漏洞
CVE-2017-12616-信息泄露漏洞
官方評級:
高危
漏洞描述:
CVE-2017-12616:信息泄露漏洞
當(dāng) Tomcat 中使用了 VirtualDirContext 時,攻擊者將能通過發(fā)送精心構(gòu)造的惡意請求宽涌,繞過設(shè)置的相關(guān)安全限制平夜,或是獲取到由 VirtualDirContext 提供支持資源的 JSP 源代碼。
CVE-2017-12615:遠程代碼執(zhí)行漏洞
當(dāng) Tomcat 運行在 Windows 主機上卸亮,且啟用了 HTTP PUT 請求方法(例如忽妒,將 readonly 初始化參數(shù)由默認值設(shè)置為 false),攻擊者將有可能可通過精心構(gòu)造的攻擊請求向服務(wù)器上傳包含任意代碼的 JSP 文件兼贸。之后段直,JSP 文件中的代碼將能被服務(wù)器執(zhí)行。
通過以上兩個漏洞可在用戶服務(wù)器上執(zhí)行任意代碼溶诞,從而導(dǎo)致數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限鸯檬,存在高安全風(fēng)險。
漏洞利用條件和方式:
CVE-2017-12615漏洞利用需要在Windows環(huán)境很澄,且需要將 readonly 初始化參數(shù)由默認值設(shè)置為 false京闰,經(jīng)過實際測試,Tomcat 7.x版本內(nèi)web.xml配置文件內(nèi)默認配置無readonly參數(shù)甩苛,需要手工添加蹂楣,默認配置條件下不受此漏洞影響。
CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext參數(shù)讯蒲,經(jīng)過實際測試痊土,Tomcat 7.x版本內(nèi)默認配置無VirtualDirContext參數(shù),需要手工添加墨林,默認配置條件下不受此漏洞影響赁酝。
漏洞影響范圍:
CVE-2017-12616影響范圍:Apache Tomcat 7.0.0 - 7.0.80
CVE-2017-12615影響范圍: Apache Tomcat 7.0.0 - 7.0.79
漏洞檢測:
開發(fā)人員檢查是否使用受影響范圍內(nèi)的Apache Tomcat版本
漏洞修復(fù)建議(或緩解措施):
根據(jù)業(yè)務(wù)評估配置readonly和VirtualDirContext值為Ture或注釋參數(shù)并重啟tomcat,臨時規(guī)避安全風(fēng)險旭等;
官方已經(jīng)發(fā)布Apache Tomcat7.0.81版本修復(fù)了兩個漏洞酌呆,建議阿里云用戶盡快升級到最新版本;
可以選用阿里云云盾WAF進行防御
情報來源:
https://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
