重要 | Apache Tomcat绕过漏洞预警

安全漏洞

2018年2月23日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告:

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

对应CVE:CVE-2018-1305、CVE-2018-1304

根据公告,漏洞存在于7.*到9.*版本,存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的Web应用程序资源的可能,直接影响到系统的安全性,建议及时升级安全更新补丁。

漏洞分析

漏洞主要因为Tomcat实现的安全性约束注释应用太迟和映射到上下文根被忽略,从而导致恶意用户可能能够绕过安全限制,来访问目标系统表面上受限制的Web应用程序资源。

漏洞利用

通过该漏洞恶意用户可能能够访问到目标网站上的Web应用程序资源,比如安全配置文件等。

影响范围

以下版本受到影响:

9.*版本(9.0.0.M1到9.0.4)

8.*版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)

7.*版本(7.0.0到7.0.84)

目前官方已提供安全更新版本下载(漏洞修复后版本):

9.*版本(9.0.5以后版本)

8.*版本(8.5.28以后版本)

8.*版本(8.0.50以后版本)

7.*版本(7.0.85以后版本)

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

威胁等级

高危:目前漏洞细节和测试代码暂未公开,但建议及时升级安全更新版本,或是部署WAF等安全防护设备监控漏洞利用情况。

安全建议

Apache Tomcat历史上报过多次安全漏洞,建议使用该产品的企业通过部署安全防护设备及时防御和随时关注安全更新公告。

参考文档

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E

- END -

原文发布于微信公众号 - 安恒网络空间安全讲武堂(gh_fa1e45032807)

原文发表时间:2018-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云飞学编程

Python爬虫,用Python抓取头条视频内容,数据其实并没有藏那么深

使用工具: python3.6 + pycharm + requests库 + re 库

991
来自专栏主机笔记

windows主机安装酷Q机器人自动管理QQ群组

经常在许多的群里都有一个在线的QQ群管机器人,可以起到提示、管理、监控等作用,让群主的省去很多麻烦的事情,其实这个要实现并不是什么难事,已经有人把应用都做好了,...

6539
来自专栏小巫技术博客

App更新策略课程完结篇

1083
来自专栏BestSDK

一提交代码系统就崩溃? 给你8个避免此尴尬的技巧

当一群人作为一个整体同时进行一个程序的编写时,每个个体都会面临两方面的权衡: ●个人部分的实现——你需要保证你负责的代码部分可以正常运行; ● 整体部分的实现—...

3717
来自专栏安恒信息

重要 | Apache Tomcat绕过漏洞预警

安全漏洞 2018年2月23日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告: http://tomcat.apache.org/secur...

5837
来自专栏JAVA高级架构

微服务架构下静态数据通用缓存机制

在分布式系统中,特别是最近很火的微服务架构下,有没有或者能不能总结出一个业务静态数据的通用缓存处理机制或方案,这篇文章将结合一些实际的研发经验,尝试理清其中存在...

952
来自专栏开源优测

有那么几张图给大家看看

681
来自专栏杨建荣的学习笔记

跨网络拷贝文件的简单实践(r3笔记第67天)

在实际的项目中可能要访问生产环境是需要各种安全验证和设置的,毕竟客户的数据是最宝贵的资源。一般来说,客户会把一部分访问的权限开放出来。这样在系统出现问题的时候,...

3387
来自专栏腾讯NEXT学位

阅读前端项目源码的正确姿势!

1504
来自专栏平凡文摘

高可用高并发的 9 种技术架构!

1975

扫码关注云+社区