专栏首页安恒网络空间安全讲武堂重要 | Apache Tomcat绕过漏洞预警

重要 | Apache Tomcat绕过漏洞预警

安全漏洞

2018年2月23日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告:

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

对应CVE:CVE-2018-1305、CVE-2018-1304

根据公告,漏洞存在于7.*到9.*版本,存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的Web应用程序资源的可能,直接影响到系统的安全性,建议及时升级安全更新补丁。

漏洞分析

漏洞主要因为Tomcat实现的安全性约束注释应用太迟和映射到上下文根被忽略,从而导致恶意用户可能能够绕过安全限制,来访问目标系统表面上受限制的Web应用程序资源。

漏洞利用

通过该漏洞恶意用户可能能够访问到目标网站上的Web应用程序资源,比如安全配置文件等。

影响范围

以下版本受到影响:

9.*版本(9.0.0.M1到9.0.4)

8.*版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)

7.*版本(7.0.0到7.0.84)

目前官方已提供安全更新版本下载(漏洞修复后版本):

9.*版本(9.0.5以后版本)

8.*版本(8.5.28以后版本)

8.*版本(8.0.50以后版本)

7.*版本(7.0.85以后版本)

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

威胁等级

高危:目前漏洞细节和测试代码暂未公开,但建议及时升级安全更新版本,或是部署WAF等安全防护设备监控漏洞利用情况。

安全建议

Apache Tomcat历史上报过多次安全漏洞,建议使用该产品的企业通过部署安全防护设备及时防御和随时关注安全更新公告。

参考文档

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E

- END -

本文分享自微信公众号 - 安恒网络空间安全讲武堂(gh_fa1e45032807)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 逆向专题 | Writeup分享二

    逆向WP分享二 0x01 Re11 [链接地址](Jarvisoj.com) 我们拿到的是一个ELF文件,在Linux中可执行,我们直接丢进IDA中shift...

    安恒网络空间安全讲武堂
  • 护网杯pwn——huwang超详细wp

    比赛结束快一个星期了,复现了一下这道题,借鉴了一下网上的wp发现大佬们写的都很简略,所以这里写一个详细的wp供小白们学习。

    安恒网络空间安全讲武堂
  • Geutebrück网络摄像头被曝多个高危漏洞,已发布固件更新

    德国 Geutebrück 网络摄像头被曝多个漏洞,但研究人员怀疑其它厂商(Ganz、Cap、Visualint、THRIVE Intelligence 和 U...

    安恒网络空间安全讲武堂
  • 重要 | Apache Tomcat绕过漏洞预警

    安全漏洞 2018年2月23日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告: http://tomcat.apache.org/secur...

    安恒信息
  • Linux下Tomcat使用详解

    版权声明:本文为木偶人shaon原创文章,转载请注明原文地址,非常感谢。 https://b...

    shaonbean
  • Web基础配置篇(三): tomcat的配置及使用

    tomcat,大家应该都知道是啥,servlet的Web容器而已,遵守servlet规范的JavaEE服务器。我们通常用tomcat来部署war包来做应用服务器...

    品茗IT
  • Web基础配置篇(三): tomcat的配置及使用

    tomcat,大家应该都知道是啥,servlet的Web容器而已,遵守servlet规范的JavaEE服务器。我们通常用tomcat来部署war包来做应用服务器...

    品茗IT
  • Tomcat特殊字符报400(The valid characters are defined in RFC 7230 and RFC 3986)

    Tomcat在 7.0.73, 8.0.39, 8.5.7 等版本后(详情:https://stackoverflow.com/questions/410536...

    日薪月亿
  • Linux(CentOS7.2)下安装JDK及Tomcat

    JDK:http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-21331...

    耕耘实录
  • Centos7安装tomcat流程介绍

    麦克劳林

扫码关注云+社区

领取腾讯云代金券