首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >安全预警 | 知名 Web 应用服务器 Tomcat 信息泄漏和远程代码执行漏洞

安全预警 | 知名 Web 应用服务器 Tomcat 信息泄漏和远程代码执行漏洞

作者头像
腾讯云安全
发布2018-06-12 14:53:13
6320
发布2018-06-12 14:53:13
举报

2017年9月19日,腾讯云安全中心监测到  Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码。

为避免您的服务器受影响,腾讯云安全提醒您注意及时开展安全自查以避免被恶意攻击者利用。

   漏洞概述   

 信息泄露漏洞(CVE-2017-12616)

当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。

远程代码执行漏洞(CVE-2017-12615)

当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。

漏洞危害

泄露用户代码数据,或用户服务器被攻击者控制

影响版本

1、信息泄露漏洞(CVE-2017-12616)影响:Apache Tomcat 7.0.0 - 7.0.80

2、 远程代码执行漏洞(CVE-2017-12615)影响: Apache Tomcat 7.0.0 - 7.0.79

修复建议

升级至 Apache Tomcat 7.0.81 版本,详细参见官网:

http://tomcat.apache.org/download-70.cgi#7.0.81

参考链接

  1. ‍http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
  2. http://www.openwall.com/lists/oss-security/2017/09/19/1
  3. http://www.openwall.com/lists/oss-security/2017/09/19/2‍

腾讯云安全团队

2017-09-19

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2017-09-20,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 腾讯云安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档