【漏洞预警】Tomcat信息泄漏和远程代码执行漏洞

2017-09-21 09:48:49
Dear user
您好,2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。

为避免您的业务受影响,我们建议您及时开展自查,并尽快推动内部业务排查,详细参见如下指引说明:

【漏洞概述】
CVE-2017-12616:信息泄露漏洞

当Tomcat中启用了 VirtualDirContext时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由VirtualDirContext提供支持资源服务的JSP源代码,从而造成代码信息泄露。

CVE-2017-12615:远程代码执行漏洞

当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。

【风险等级】
高危

【漏洞影响】
远程代码执行、获取业务数据或服务器权限;

【利用条件】
CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受 此漏洞影响。

CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。

【影响版本】
1)CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80
2)CVE-2017-12615影响范围: Apache Tomcat 7.0.0 - 7.0.79

【修复建议】
1)目前官方已经发布了7.0.81版本修复了两个漏洞,建议用户尽快升级到最新版本;
2)根据业务评估配置readonly和VirtualDirContext值为Ture或注释参数,临时规避安全风险

【相关参考】
https://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

JD Cloud team

2017-09-21 09:48:49

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×