Apache Tomcat CVE-2018-1305安全绕过漏洞

综述

2018年2月23日，Apache Tomcat报告了一个漏洞，该漏洞可以绕过一些安全控制，漏洞编号为CVE-2018-1305。

问题

根据Servlet的加在顺序，系统在某些情况下没有正确执行由Servlet注释定义的安全约束。因此远程用户可能能够绕过安全限制来访问目标系统上受限制的资源。

漏洞作者

Apache Tomcat安全团队

影响版本

Apache Tomcat 9.0.0.M1 to 9.0.4

Apache Tomcat 8.5.0 to 8.5.27

Apache Tomcat 8.0.0.RC1 to 8.0.49

Apache Tomcat 7.0.0 to 7.0.84

漏洞等级

高危

缓解方案

受影响版本的用户应该应用下列其中一项缓解。升级到：

- Apache Tomcat 9.0.5或更高版本

- Apache Tomcat 8.5.28或更高版本

- Apache Tomcat 8.0.50或更高版本

- Apache Tomcat 7.0.85或更高版本

参考

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1305

https://securitytracker.com/id/1040428