Apache Tomcat 安全漏洞预警

1

Apache Optionsbleed 漏洞跟进

2017年9月18日，Apache公告了HTTP OPTIONS方法内存泄露漏洞，代号“Optionsbleed”，对应CVE编号：CVE-2017-9798

相关信息链接： https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html 根据公告，该漏洞存在于2.2.34/2.4.27版本，目前网上已经有公开的测试代码，建议尽快更新到新的版本。

测试工具：https://github.com/hannob/optionsbleed

2

Apache Tomcat 漏洞跟进

2017年9月19日，Apache又公告两个Tomcat的漏洞，其中远程代码执行漏洞，对应CVE编号：CVE-2017-12615，信息泄露漏洞，对应CVE编号：CVE-2017-12616，本次漏洞公告链接： https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

官方7.x版本历史安全公告列表： https://tomcat.apache.org/security-7.html

3

漏洞描述

在Windows版本下，将web.xml配置文件中readonly值设置为false时（默认是true），即可通过PUT方式创建一个JSP脚本文件，从而可以执行攻击代码，实现webshell。

4

影响版本范围

远程代码执行漏洞(CVE-2017-12615),影响7.0.0到7.0.79版本 信息泄露漏洞（CVE-2017-12616），影响7.0.0到7.0.80版本 官方推荐更新到7.0.81版本，目前网上已经有公开的测试代码，而且显示绕过了7.0.81补丁版本，并不限于Windows版本，建议关注官方的最新版本和参考其他缓解措施。

关注官方更新版本下载地址： https://tomcat.apache.org/download-70.cgi https://tomcat.apache.org/download-80.cgi https://tomcat.apache.org/download-90.cgi

5

缓解措施（安全开发建议等）

配置：如果不是必须适配，考虑将web.xml配置文件中readonly值保持为默认设置true。 高危：目前攻击代码已经公开，强烈建议尽快升级到无漏洞新版本或使用WAF等安全设备拦截恶意请求。 安全开发生命周期（SDL）建议：Apache Tomcat历史上已经报过多个严重安全漏洞，建议使用该产品的企业经常关注官方安全更新公告。