当前位置: 首页 > 通知公告 > 正文

通知公告

Apache Tomcat存在信息泄露与远程代码执行漏洞的安全公告

信息来源: 发布日期: 2017-09-22 浏览次数:

  9月20日,国家信息安全漏洞共享平台(CNVD)收录了Apache Tomcat远程代码执行漏洞(CNVD-2017-27471对应CVE-2017-12616,CNVD-2017-27472对应CVE-2017-12615)。综合利用漏洞,攻击者可能获取用户服务器上 JSP 文件的源代码,或通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码。

  Apache Tomcat官方已确认了这两个高危漏洞。

  漏洞一:信息泄露漏洞(CNVD-2017-27471、CVE-2017-12616)

  当Tomcat中启用了 VirtualDirContext时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由VirtualDirContext提供支持资源服务的JSP源代码,从而造成代码信息泄露。

  漏洞二:远程代码执行漏洞(CNVD-2017-27472、 CVE-2017-12615)

  当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

  处置建议:

  升级至 Apache Tomcat 7.0.81 版本,详情参见官网:

  http://tomcat.apache.org/download-70.cgi#7.0.81