重要 | Apache Tomcat绕过漏洞预警

安全漏洞

2018年2月23日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告:

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

对应CVE:CVE-2018-1305、CVE-2018-1304

根据公告,漏洞存在于7.*到9.*版本,存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的Web应用程序资源的可能,直接影响到系统的安全性,建议及时升级安全更新补丁。

漏洞分析

漏洞主要因为Tomcat实现的安全性约束注释应用太迟和映射到上下文根被忽略,从而导致恶意用户可能能够绕过安全限制,来访问目标系统表面上受限制的Web应用程序资源。

漏洞利用

通过该漏洞恶意用户可能能够访问到目标网站上的Web应用程序资源,比如安全配置文件等。

影响范围

以下版本受到影响:

9.*版本(9.0.0.M1到9.0.4)

8.*版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)

7.*版本(7.0.0到7.0.84)

目前官方已提供安全更新版本下载(漏洞修复后版本):

9.*版本(9.0.5以后版本)

8.*版本(8.5.28以后版本)

8.*版本(8.0.50以后版本)

7.*版本(7.0.85以后版本)

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

威胁等级

高危:目前漏洞细节和测试代码暂未公开,但建议及时升级安全更新版本,或是部署WAF等安全防护设备监控漏洞利用情况。

安全建议

Apache Tomcat历史上报过多次安全漏洞,建议使用该产品的企业通过部署安全防护设备及时防御和随时关注安全更新公告。

参考文档

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2018-02-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏吉浦迅科技

【问题笔记】由乱码引起的“惨案”

问题笔记 办法总比问题多 整理记录最真实的客户在GPU编程中遇到的问题 及我们的解决办法   一大早一个妹子在QQ上说安装了最新的PGI加速编译器和正版授权后,...

3466
来自专栏开源优测

有那么几张图给大家看看

681
来自专栏媒矿工厂

Web架构基础101

大型动态应用系统平台主要是针对于大流量、高并发网站建立的底层系统架构。大型网站的运行需要一个可靠、安全、可扩展、易维护的应用系统平台做为支撑,以保证网站应用的平...

3522
来自专栏小巫技术博客

App更新策略课程完结篇

1083
来自专栏主机笔记

windows主机安装酷Q机器人自动管理QQ群组

经常在许多的群里都有一个在线的QQ群管机器人,可以起到提示、管理、监控等作用,让群主的省去很多麻烦的事情,其实这个要实现并不是什么难事,已经有人把应用都做好了,...

6559
来自专栏云飞学编程

Python爬虫,用Python抓取头条视频内容,数据其实并没有藏那么深

使用工具: python3.6 + pycharm + requests库 + re 库

991
来自专栏Java编程技术

分布式事务- 三阶段协议

前面我们介绍了为解决分布式事务而提出来的的二阶段协议,本文首先来讲解二阶段的不足,然后阐述三阶段协议,三阶段协议也是一个标准的协议,也并没有说具体如何实现。

692
来自专栏BestSDK

一提交代码系统就崩溃? 给你8个避免此尴尬的技巧

当一群人作为一个整体同时进行一个程序的编写时,每个个体都会面临两方面的权衡: ●个人部分的实现——你需要保证你负责的代码部分可以正常运行; ● 整体部分的实现—...

3717
来自专栏安恒网络空间安全讲武堂

重要 | Apache Tomcat绕过漏洞预警

安全漏洞 2018年2月23日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告: http://tomcat.apache.org/secur...

5607
来自专栏平凡文摘

高可用高并发的 9 种技术架构!

1975

扫码关注云+社区