Tomcat信息泄漏和远程代码执行漏洞(CVE-2017-12615/CVE-2017-12616)

2017-09-19 17:10:31
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。
漏洞曝光时间:2017-09-19
漏洞风险程度:高危
漏洞曝光程度:已经公开
受漏洞影响软件以及版本:

CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80
CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.79

受漏洞影响操作系统以及版本:

CVE-2017-12616影响范围:Windows平台下的Apache Tomcat 7.0.0 - 7.0.80
CVE-2017-12615影响范围:Windows平台下的 Apache Tomcat 7.0.0 - 7.0.79

缓解或修复方案:
修复方案一:
根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启tomcat,临时规避安全风险;
需要注意的是:如禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。

修复方案二:
官方已经发布Apache Tomcat 7.0.81 版本修复了两个漏洞,建议尽快升级到最新版本;
漏洞描述:

CVE-2017-12616:信息泄露漏洞
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。

CVE-2017-12615:远程代码执行漏洞
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。
通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。

最新资讯